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加 加 第 5 版 前 言 有 


考虑 到 交换 机 与 路 由 器 设备 在 市 场 上 的 占有 率 以 及 服务 器 操作 系统 的 升级 换代 ， 本 次 修 编 对 
交换 机 和 路 由 器 的 配置 以 及 服务 器 操作 系统 及 配置 进行 了 替换 。 第 1 章 由 雷震 甲 、 张 凡 编 写 ; 第 
2 章 由 吴 小 获 、 杨 俊 卿 编写 : 第 3 章 由 严 体 华 、 刘 伟 编写 : 第 4 章 由 张 永 刚 、 王 亚 平 编写 ; 第 
5 章 由 雷震 甲 编写 ; 第 6 章 由 高 悦 、 刘 强 编写 ; 第 7 章 由 吴 振 强 、 武 波 编写 ,第 8 章 由 高 振江 、 
王 黎 明 编写 ; 第 9 章 由 张 武 军 、 张 志 钦 编写 ; 第 10 章 由 景 为 、 宋 胜利 编写 ; 第 11 章 由 谢 志 诚 、 
霍 秋 艳 编写 ， 第 12 章 由 曹 燕 龙 、 褚 华 编写 。 


作者 
2018 年 1 月 


第 4 版 前 言 本 时 


考虑 到 无 线 互联 网 和 IPv6 技术 的 应 用 已 经 普及 , 所 以 这 次 修订 把 无 线 通信 网 和 下 一 代 互 联网 


的 有 关内 容 独 立 出 来 ， 经 扩充 后 成 为 单独 的 两 章 ， 全 书 增加 到 12 章 。 各 章 的 作者 如 下 : 雷震 
甲 编写 了 第 1 章 、 第 5 章 和 第 6 章 ， 张 淑 平 编写 了 第 2 章 ; 严 体 华 编写 了 第 3 章 和 第 9 章 ， 高 
振江 编写 了 第 4 章 ， 吴 晓 葵 编 写 了 第 7 章 和 第 10 章 ; 张 志 钦 编写 了 第 8 章 ， 张 武 军 编写 了 第 


11 章 ， 曹 艳 龙 编写 了 第 12 章 。 


作者 
2014 年 4 月 


和 第 3 版 (修订 版 前 言 国 本 


根据 新 的 网 络 工程 师 考试 大 纲 ， 这 次 再 版 时 对 本 书 内 容 进 行 了 比较 大 的 调整 ， 对 基础 知识 
部 分 进行 了 简化 ， 对 应 用 技术 部 分 进行 了 改写 ， 突 出 了 网 络 服务 器 的 配置 、 路 由 器 和 交换 机 的 
配置 ， 以 及 网 络 安全 和 网 络 管理 等 实用 技术 。 在 适当 调整 后 ， 全 书 分 为 10 章 ， 其 主要 内 容 介 
绍 如 下 。 

第 1 章 介绍 计算 机 网 络 的 基本 概念 , 这 一 章 最 主要 的 内 容 是 计算 机 网 络 的 体系 结构 一 一 ISO 开 
放 系统 互 连 参考 模型 ， 其 中 的 基本 概念 ， 例 如 协议 实体 、 协 议 数 据 单元 、 服 务 数据 单元 、 面 向 
连接 的 服务 和 无 连接 的 服务 、 服 务 原 语 、 服 务 访问 点 、 相 邻 层 之 间 的 多 路 复 用 ， 以 及 各 个 协议 
层 的 功能 特性 等 ， 都 是 进行 网 络 分 析 的 理论 基础 ， 是 网 络 工程 技术 人 员 应 该 掌握 的 基础 
知识 。 

第 2 章 讲述 数据 通信 的 基础 知识 ， 这 一 章 主要 是 属于 物理 层 的 内 容 。 网 络 工程 师 除了 熟悉 
网 络 协议 的 工作 原理 、 能 够 操作 网 络 互 连 设备 之 外 ， 也 应 该 掌握 数据 通信 方面 的 基础 知识 ， 这 
样 ， 在 进行 网 络 故障 分 析 和 故障 排除 时 才能 做 到 有 的 放 矢 ， 事 半 功 倍 地 解决 问题 。 

第 3 章 介绍 电话 网 、 数 据 通信 网 、 帧 中 继 网 和 综合 业务 数字 网 等 广 域 通信 网 方面 的 基础 知 
识 ， 这 些 网 络 都 是 进行 网 络 互 连 时 必须 要 用 到 的 基础 设施 ， 这 方面 的 基础 知识 可 以 帮助 网 络 工 
程 师 根据 已 有 的 条 件 选择 网 络 互 连 设备 。 

第 4 章 详细 介绍 局 域 网 和 城 域 网 方面 的 主要 技术 。 这 次 修改 时 突出 了 快速 以 太 网 技术 ， 删 
去 了 较 少 使 用 的 令 牌 环 网 等 ， 丰 富 了 无 线 局 域 网 和 城 域 网 方面 的 内 容 。 这 一 章 是 网 络 工程 师 应 
该 掌握 的 最 重要 的 基础 知识 。 

第 5 章 讨论 了 网 络 互 连 的 基本 原理 ， 深 入 讲解 了 Intemet 协议 及 其 提供 的 网 络 服务 。 这 一 
章 也 是 网 络 工程 师 应 该 掌握 的 重要 的 基础 知识 。 

第 6 章 包含 了 网 络 安全 方面 的 基础 知识 和 应 用 技术 。 读 者 应 该 掌握 诸如 数据 加 密 、 报 文 认 
证 、 数 字 签 名 等 基本 理论 ， 在 此 基础 上 深入 理解 网 络 安全 协议 的 工作 原理 ， 并 能 够 针对 具体 的 
网 络 系统 设计 和 实现 简单 的 安全 解决 方案 。 

第 7 章 介绍 了 Windows 和 Linux 操作 系统 的 基础 知识 , 并 详细 讲述 了 常用 的 各 种 服务 器 的 
配置 方法 。 这 一 章 的 内 容 主要 是 在 具体 操作 方面 ， 网 络 工程 师 要 能 够 熟练 地 配置 各 种 网 络 服务 
器 ， 排 除 网 络 服务 器 中 出 现 的 故障 。 

第 8 章 是 有 关 网 络 互 连 设 备 操作 方面 的 基础 知识 和 实用 技术 , 这 一 章 也 是 要 求 能 够 熟练 地 
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操作 ,重点 是 VLAN 和 动态 路 由 配置 。 要 求 网 络 工程 师 能 够 熟悉 网 络 互 连 设备 的 工作 原理 ， 掌 
握 路 由 器 和 交换 机 的 配置 命令 ， 能 够 排除 网 络 互 连 设备 的 故障 。 

第 9 章 是 网 络 管理 , 读者 除了 要 熟悉 SNMP 协议 的 体系 结构 和 操作 原理 之 外 , 还 要 能 实际 
操作 网 络 管理 系统 ， 熟 练 地 使 用 常见 的 网 络 管理 命令 ， 针 对 具体 的 网 络 给 出 实用 的 网 络 管理 解 
决 方案 。 

第 10 章 讲述 网 络 规划 与 设计 。 网 络 工程 师 应 该 能 够 根据 网 络 的 设计 目标 ， 按 照 系统 工程 
的 方法 给 出 解决 方案 ， 写 出 规范 的 设计 和 实施 文档 。 另 外 ， 这 一 章 还 给 出 了 网 络 规 划 和 设计 的 
案例 ， 作 为 学 习 时 的 参考 。 

新 大 纲 增加 了 IPv6、802.11x、MPLS、 光 纤 主 干 网 等 新 技术 ， 希 望 读 者 给 予 注意 。 


编者 
2009 年 4 月 
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计算 机 网 络 是 计算 机 技术 与 通信 技术 相 结 合 的 产物 。 计算机 网 络 是 信息 收集 、 分 发 、 存 储 、 
处 理 和 消费 的 重要 和 载体。 计算 机 网 络 作为 一 种 生产 和 生活 工具 被 人 们 广泛 接纳 和 使 用 之 后 ， 对 
人 类 社会 的 经 济 、 政 治 和 文化 生活 产生 了 重大 影响 。 本 章 讲述 计算 机 网 络 的 基本 概念 和 发 展 简 
史 ， 以 及 国际 标准 化 组 织 定义 的 开放 系统 互 连 参考 模型 ， 后 者 是 分 析 和 认识 计算 机 网 络 的 理论 
基础 。 


1.1 计算 机 网 络 的 形成 和 发 展 


1， 早期 的 计算 机 网 络 


自从 有 了 计算 机 ， 就 有 了 计算 机 技术 与 通信 技术 的 结合 。 早 在 1951 年 ， 美 国 麻 省 理工 学 院 林 
青 实验 室 就 开始 为 美国 室 军 设计 称 为 SAGE 的 半自动 化 地 面 防空 系统 ， 该 系统 最 终于 1963 年 
建成 ， 被 认为 是 计算 机 和 通信 技术 结合 的 先驱 。 

计算 机 通信 技术 应 用 于 民用 系统 方面 最 早 的 当 数 美国 航 室 公 司 与 TBM 公司 在 20 世纪 50 
年 代 初 开始 联合 研究 、60 年 代 初 投入 使 用 的 飞机 订 票 系统 SABRE-I。 美国 通用 电气 公司 的 信息 
服务 系统 则 是 世界 上 最 大 的 商用 数据 处 理 网 络 ， 其 地 理 范围 从 美国 本 十 延伸 到 欧洲 、 澳 洲 和 亚 
洲 的 日 本 。 该 系统 于 1968 年 投入 运行 ， 具 有 交互 式 处 理 和 批 处 理 能 力 ， 由 于 地 理 范围 大 ， 可 
以 利用 时 差 达到 资源 的 充分 利用 。 

在 这 一 类 早期 的 计算 机 通信 网 络 中 ， 为 了 提高 通信 线路 的 利用 率 并 减 经 主机 的 负担 ,已 经 
使 用 了 多 点 通信 线路 、 终 端 集中 器 以 及 前 端 处 理 机 等 现代 通信 技术 。 这 些 技术 对 以 后 计算 机 网 
络 的 发 展 有 着 深刻 的 影响 。 以 多 点 线路 连接 的 终端 和 主机 问 的 通信 建立 过 程 ， 可 以 用 主机 对 各 
终端 轮 询 或 是 由 各 终端 连接 成 难 菠 链 的 形式 实现 。 考 虑 到 远程 通信 的 特殊 情况 ， 对 传输 的 信息 
还 要 按照 一 定 的 通信 规程 进行 特别 的 处 理 。 

2。 现代 计算 机 网 络 的 发 展 

20 世纪 60 年 代 中 期 出 现 了 大 型 主机 ， 同 时 也 出 现 了 对 大 型 主机 资源 远程 共享 的 要 求 。 以 


程控 交换 为 特征 的 电信 技术 的 发 展 则 为 这 种 远程 通信 需求 提供 了 实现 的 手段 。 现 代 意义 上 的 计 
算 机 网 络 是 从 1969 年 美国 国防 部 高 级 研究 计划 局 (DARPA) 建成 的 ARPAnet 实验 网 开始 的 。 
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该 网 络 当时 只 有 4 个 节点 ， 以 电话 线路 作为 主干 通信 网 络 ， 两 年 后 ， 建 成 15 个 节点 ， 进 入 工作 阶 
段 。 此 后 ，ARPAnet 的 规模 不 断 扩大 。 到 了 20 世纪 70 年 代 后 期 ， 网 络 节点 超过 60 个 ， 主 机 
100 多 台 ， 地 理 范 围 跨越 了 美洲 大 陆 ， 连 通 了 美国 东部 和 西部 的 许多 大 学 和 研究 机 构 ， 而 且 通 
过 通信 卫星 与 夏 威 更 和 欧洲 地 区 的 计算 机 网 络 相互 连通 。 

ARPAnet 的 主要 特点 如 下 。 

(1) 资源 共享 ; 

(2) 分 散 控制 ; 

(3) 分 组 交换 ; 

(4) 采用 专门 的 通信 控制 处 理 机 ; 

(5) 分 层 的 网 络 协 议 。 

这 些 特点 被 认为 是 现代 计算 机 网 络 的 一 般 特征 。 

20 世纪 70 年 代 中 后 期 是 广 域 通信 网 大 发 展 的 时 期 。 各 发 达 国家 的 政府 部 门 、 研 究 机 构 和 
电报 电话 公司 都 在 发 展 分 组 交换 网 络 。 例 如 ， 英 国 邮政 局 的 EPSS 公用 分 组 交换 网 络 (1973)、 
法 国信 息 与 自动 化 研究 所 (IRIA) 的 CYCLADES 分 布 式 数据 处 理 网 络 (1975)、 加 拿 大 的 DATAPAC 
公用 分 组 交换 网 (1976〉 以 及 日 本 电报 电话 公司 的 DDX-3 公用 数据 网 (1979) 等 。 这 些 网 络 
都 以 实现 计算 机 之 间 的 远程 数据 传输 和 信息 共享 为 主要 目的 ， 通 信 线 路 大 多 采用 租用 电话 线 
路 ， 少 数 铺设 专用 线路 ， 数 据 传 输 速率 在 50Kbps 左右 。 这 一 时 期 的 网 络 被 称 为 第 二 代 网 络 ， 
以 远程 大 规模 互 连 为 其 主要 特点 。 


3. 计算 机 网 络 标准 化 阶段 


经 过 20 世纪 六 七 十 年 代 前 期 的 发 展 ， 人 们 对 组 网 的 技术 、 方 法 和 理论 的 研究 日 趋 成 熟 。 
为 了 促进 网 络 产品 的 开发 ， 各 大 计算 机 公司 纷纷 制定 自己 的 网 络 技术 标准 。IBM 首先 于 1974 
年 推出 了 该 公司 的 系统 网 络 体系 结构 (System Network Architecture，SNA)， 为 用 户 提供 能 够 互 
连 互通 的 成 套 通信 产品 ，1975 年 ，DEC 公司 宣布 了 自己 的 数字 网 络 体系 结构 (Digital Network 
Architecture, DNA); 1976 年 , UNIVAC 宣布 了 该 公司 的 分 布 式 通信 体系 结构 (Distributed Communi- 
cation Architecture)。 这 些 网 络 技术 标准 只 是 在 一 个 公司 范围 内 有 效 ， 遵 从 某 种 标准 的 、 能 够 互 
连 的 网 络 通信 产品 ， 只 是 同一 公司 生产 的 同 构 型 设备 。 网 络 通信 市 场 这 种 各 自 为 政 的 状况 使 得 
用 户 在 投资 方向 上 无 所 适 从 , 也 不 利于 多 厂商 之 间 的 公平 竞争 。 1977 年 , 国际 标准 化 组 织 (ISO) 
的 TC97 信息 处 理 系 统 技术 委员 会 SC16 分 技术 委员 会 开始 着 手 制定 开放 系统 互 连 参考 模型 
OSIRM。 作 为 国际 标准 ，OSI 规定 了 可 以 互 连 的 计算 机 系统 之 间 的 通信 协议 , 遵从 OSI 协议 的 
网 络 通信 产品 都 是 所 谓 的 “开放 系统 ”。 今 天 ， 几 乎 所 有 的 网 络 产品 厂商 都 声称 自己 的 产品 是 
开放 系统 ， 不 遵从 国际 标准 的 产品 逐渐 失去 了 市 场 。 这 种 统一 的 、 标 准 化 产品 互相 竞争 的 市 场 
进一步 促进 了 网 络 技术 的 发 展 。 
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4. 微型 机 局 域 网 的 发 展 时 期 


20 世纪 80 年 代 初 期 出 现 了 微型 计算 机 ， 这 种 更 适合 办 公 室 环境 和 家 庭 使 用 的 新 机 种 对 社 
会 生活 的 各 个 方面 都 产生 了 深刻 的 影响 。1972 年 ，Xerox 公司 发 明了 以 太 网 ， 以 太 网 与 微型 机 
的 结合 使 得 微型 机 局 域 网 得 到 了 快速 的 发 展 。 在 一 个 单位 内 部 的 微型 计算 机 和 智能 设备 互相 连 
接 起 来 , 提供 了 办 公 自 动 化 的 环境 和 信息 共享 的 平台 。1980 年 2 月 , IEEE 组 织 了 一 个 802 委员 会 ， 
始 制定 局 域 网 标准 。 局 域 网 的 发 展 道路 不 同 于 广域网 ， 局 域 网 厂商 从 一 开始 就 按照 标准 化 、 互 
相 兼 容 的 方式 展开 竞争 。 用 户 在 建设 自己 的 局 域 网 时 选择 面 更 宽 ， 设 备 更 新 更 快 。 


S. 国际 因特网 的 发 展 时 期 

















1985 年 ， 美 国 国家 科学 基金 会 (National Science Foundation，NSF) 利用 ARPAnet 协议 建 
立 了 用 于 科学 研究 和 教育 的 骨干 网 络 NSFnet。1990 年 ， NSFnet 代替 ARPAnet 成 为 美国 国家 骨 
干 网 ， 并 且 走 出 了 大 学 和 研究 机 构 进入 社会 。 从 此 ， 网 上 的 电子 邮件 、 文 件 下 载 和 消息 传输 受 
到 越 来 越 多 人 的 欢迎 并 被 广泛 使 用 。1992 年 ，Internet 学 会 成 立 ， 该 学 会 把 Intemet 定义 为 “组 
织 松 散 的 、 独立 的 国际 合作 互联 网 络 ”“ 通 过 自主 遵守 计算 协议 和 过 程 支 持 主机 对 主机 的 通信 ”。 
1993 年 ， 美 国 伊利 诺 斯 大 学 国家 超级 计算 中 心 开发 成 功 了 网 上 浏览 工具 Mosaic〔〈 后 来 发 展 成 
Netscape)， 使 得 各 种 信息 都 可 以 方便 地 在 网 上 交流 。 浏 览 工具 的 实现 引发 了 Intemet 发 展 和 普 
及 的 高 潮 。 上 网 不 再 是 网 络 操作 人 员 和 科学 研究 人 员 的 专利 ， 而 成 为 一 般 人 进行 远程 通信 和 交 
流 的 工具 。 在 这 种 形势 下 ， 美 国 总 统 克林顿 于 1993 年 宣布 正式 实施 国家 信息 基础 设施 (National 
Information Infrastructure，NIT》 计划 ， 从 此 在 世界 范围 内 展开 了 争夺 信息 化 社会 领导 权 和 制 高 
点 的 竞争 。 与 此 同时 ，NSF 不 再 向 Internet 注入 资金 ， 使 其 完全 进入 商业 化 运作 。 到 了 20 世纪 
90 年 代 后 期 ，Internet 以 惊人 的 高 速度 发 展 ， 网 上 的 主机 数量 、 上 网 人 数 、 网 络 的 信息 流量 每 
年 都 在 成 倍 地 增长 。 


1.2 计算 机 网 络 的 分 类 和 应 用 














1.2.1 计算 机 网 络 的 分 类 


“计算 机 网 络 ” 这 一 术语 是 指 由 通信 线路 互相 连接 的 许多 自主 工作 的 计算 机 构成 的 集合 体 。 
这 里 强调 构成 网 络 的 计算 机 是 自主 工作 的 ， 这 是 为 了 和 多 终端 分 时 系统 相 区 别 。 在 后 一 种 系统 
中 ， 终 端 无 论 是 本 地 的 还 是 远程 的 ， 只 是 主机 和 用 户 之 间 的 接口 ， 它 本 身 并 不 拥有 计算 资源 ， 
全 部 资源 集中 在 主机 中 。 主 机 以 自己 拥有 的 资源 分 时 地 为 各 终端 用 户 服务 。 在 计算 机 网 络 中 的 
各 个 计算 机 工作 站 〉 本 身 拥有 计算 资源 ， 能 独立 工作 ， 能 完成 一 定 的 计算 任务 。 同 时 ， 用 户 
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还 可 以 共享 网 络 中 其 他 计算 机 的 资源 CPU、 大 容量 外 存 或 信息 等 )。 

比 计算 机 网 络 更 高 级 的 系统 是 分 布 式 系统 。 分布 式 系统 在 计算 机 网 络 基础 上 为 用 户 提供 了 
透明 的 集成 应 用 环境 。 用 户 可 以 用 名 字 或 命令 调用 网 络 中 的 任何 资源 或 进行 远程 的 数据 处 理 ， 
不 必 考 虑 这 些 资 源 或 数据 的 地 理 位 置 。 

与 计算 机 网 络 类 似 的 另 一 种 系统 是 多 机 系统 。 多 机 系统 专 指 同一 机 房 中 的 许多 大 型 主机 互 
连 组 成 的 功能 强大 、 能 高 速 并 行 处 理 的 计算 机 系统 。 对 这 种 系统 互 连 的 要 求 是 高 带宽 和 连通 的 
多 样 性 。 计 算 机 网 络 中 的 信息 传输 开销 很 大 ， 实 际 的 有 效 数据 速率 比 通信 线路 能 够 提供 的 带宽 
要 小 得 多 。 同 时 ， 由 于 距离 的 原因 ， 在 计算 机 网 络 终端 系统 是 通过 交换 设备 互 连 的 ， 这 种 有 限 
互 连 的 方式 不 能 适应 高 速 并 行 计算 的 要 求 。 

计算 机 网 络 的 组 成 元 素 可 以 分 为 两 大 类 ， 即 网 络 节点 和 通信 链 路 。 网 络 节点 又 分 为 端 节 点 
和 转发 节点 。 端 节点 指 信 源 和 信 宿 节点 ， 例 如 用 户主 机 和 用 户 终端 ;转发 节点 指 网 络 通信 过 程 
中 控制 和 转发 信息 的 节点 ， 例 如 交换 机 、 集 线 器 、 接 口 信息 处 理 机 等 。 通 信 链 路 是 指 传输 信息 
的 信道 ， 可 以 是 电话 线 、 同 轴 电 缆 、 无 线 电线 路 、 卫 星 线路 、 微 波 中 继 线路 和 光纤 线 线 等 。 网 
络 节点 通过 通信 链 路 连接 成 的 计算 机 网 络 如 图 1-1 所 示 。 








图 1-1 通信 子 网 与 资源 子 网 


在 图 1-1 中 ， 虚 线 框 外 的 部 分 称 为 资源 子 网 。 资 源 子 网 中 包括 拥有 资源 的 用 户主 机 和 请 求 
资源 的 用 户 终端 ， 它 们 都 是 端 节 点 。 虚 线 框 内 的 部 分 叫 作 通信 子 网 ， 其 任务 是 在 端 节点 之 间 传 
送 由 信息 组 成 的 报 文 ， 主 要 由 转发 节点 和 通信 链 路 组 成 。 在 图 1-1 中 ， 按 照 ARPA 网 络 的 术语 
把 转发 节点 统称 为 接口 信息 处 理 机 (Interface Message Processor，IMP)。IMP 是 一 种 专用 于 通 
信 的 计算 机 ， 有 些 IMP 之 间 直 接 相连 ， 有 些 IMP 之 间 必 须 经 过 其 他 IMP 才能 相连 。 当 IMP 收 
到 一 个 报 文 后 要 根据 报 文 的 目标 地 址 决定 把 该 报 文 提 交 给 与 它 相连 的 主机 还 是 转发 到 下 一 个 
IJMP， 这 种 通信 方式 叫 作 存储 -转发 通信 。 在 广域网 中 的 通信 一 般 都 采用 这 种 方式 。 另 外 一 种 通 
信 方 式 是 广播 通信 方式 ， 主 要 用 于 局 域 网 中 。 局 域 网 中 的 IMP 简化 为 一 个 微 处 理 器 芯片 ， 每 台 
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主机 或 工作 站 中 都 设置 一 个 IMP。 在 广播 通信 系统 中 ， 唯 一 的 信道 为 所 有 主机 所 共享 ， 任 何 主 
机 发 出 的 信息 所 有 主机 都 能 收 到 。 信 息 包 中 的 目标 地 址 则 指明 特定 的 接收 站 。 在 需要 时 可 以 用 
一 个 特殊 的 目标 地 址 (例如 全 1 地 址 ) 表示 该 信息 包 是 发 给 所 有 站 的 ， 这 叫 作 多 目标 发 送 。 

通信 子 网 中 转发 节点 的 互 连 模式 叫 作 子 网 的 拓扑 结构 。 图 1-2 中 列 出 了 可 能 有 的 几 种 拓扑 
结构 ， 其 中 全 连接 型 对 于 点 对 点 的 通信 是 最 理想 的 ， 但 由 于 连接 数 接近 节点 数 的 平方 倍 ， 所 以 
实际 上 是 行 不 通 的 。 在 广域网 中 常见 的 互 连 拓扑 是 树 型 和 不 规则 型 ,而 在 局 域 网 中 则 常用 星 型 、 
环 型 、 总 线 型 等 规则 型 拓扑 结构 。 
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图 1-2 网 络 的 拓扑 结构 


可 以 按照 不 同 的 方法 对 计算 机 网 络 进行 分 类 。 按 照 互 连 规模 和 通信 方式 ， 可 以 把 网 络 分 为 
局 域 网 (LAN)、 城 域 网 (MAN) 和 广域网 C(WAN)， 这 3 种 网 络 的 比较 如 表 1-1 所 示 。 


表 1-1 LAN、MAN 和 WAN 的 比较 
局 域 网 城 域 网 





广 域 网 














































地 理 范围 室内 ， 校 园 内 部 建筑 物 之 间 ， 城 区 内 内 ， 国 际 

所 有 者 和 运营 者 | 单位 所 有 和 运营 几 个 单位 共有 或 公用 通信 运营 公司 所 有 
互联 和 通信 方式 “| 共享 介质 ， 分 组 广播 共享 介质 ， 分 组 广播 共享 介质 ， 分 组 交换 
数据 速率 每 秒 几 十 兆 位 每 秒 几 兆 位 每 秒 儿 十 二 位 


至 每 秒 几 百 兆 位 至 每 秒 几 十 兆 位 
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续 表 
广域网 
误 码 率 | 较 大 
拓扑 结构 ni 不 规则 的 网 状 结构 
上 理 
主要 应 用 分 布下 到 指针 远程 数据 传输 





办 公 自 动 化 


按照 使 用 方式 可 以 把 计算 机 网 络 分 为 校园 网 (Campus Network) 和 企业 网 (Enterprise 
Network), 前 者 用 于 学 校内 部 的 教学 科研 信息 的 交换 和 共享 , 后 者 用 于 企业 管理 和 办 公 自 动 化 。 
一 个 校园 网 或 企业 网 可 以 由 内 联网 (Intranet) 和 外 联网 (Extranet) 组 成 。 内 联网 是 采用 Intemet 
技术 (TCP/IP 协议 和 B/S 结构 ) 建立 的 校园 网 或 企业 网 ， 用 防火 墙 限制 与 外 部 的 信息 交换 ， 以 
确保 内 部 的 信息 安全 。 外 联网 是 校园 网 或 企业 网 的 一 部 分 , 通过 Intemet 上 的 安全 通道 与 内 部 网 
进行 通信 。 按 照 网 络 服务 的 范围 可 以 把 网 络 分 为 公用 网 与 专用 网 。 公 用 网 是 通信 公司 建立 和 经 
营 的 网 络 ， 向 社会 提供 有 偿 的 通信 和 信息 服务 。 专 用 网 一 般 是 建立 在 公用 网 上 的 虚拟 网 络 ， 仅 
限于 一 定 范围 的 用 户 之 间 的 通信 ， 或 者 对 一 定 范 围 的 通信 设备 实施 特殊 的 管理 。 网 络 按照 提供 
的 服务 可 以 分 为 通信 网 和 信息 网 。 通 信 网 提供 远程 连 网 服务 ， 各 种 校园 网 和 企业 网 通过 远程 连 
接 形成 nternet， 提 供 互 连 服务 的 供应 商 叫 作 ISP (Intermet Service Provider)。 信 息 网 提供 Web 
信息 浏览 、 文 件 下 载 和 电子 邮件 传送 等 信息 服务 , 提供 网 络 信息 服务 的 供应 商 叫 作 ICP (Internet 


Content Provider ) 。 


1.2.2 计算 机 网 络 的 应 用 


计算 机 网 络 的 应 用 涉及 社会 生活 的 各 个 方面 。 当 前 对 经 济 和 文化 生活 影响 最 大 的 网 络 应 用 
列举 如 下 。 

(1) 办 公 自 动 化 。 网 络 化 办 公 系 统 的 主要 功能 是 实现 信息 共享 和 公文 流转 。 其 功能 包括 领 
导 办 公 、 电 子 签名 、 公 文 处 理 、 日 程 安排 、 会 议 管理 、 档 案 管 理 、 财 务 报销 、 信 访 管理 、 信 息 
发 布 和 全 文 检索 等 模块 ， 以 解决 各 种 类 型 的 无 纸 化 办 公 问 题 。 这 种 系统 应 该 简单 、 可 靠 、 安 全 、 
易 用 、 容 易 安 装 和 普遍 适用 。 在 目前 大 力 推广 政府 上 网 、 企 业 上 网 的 情况 下 ， 办 公 软 件 具 有 越 
来 越 广阔 的 应 用 环境 。 但 是 ， 现 在 的 大 多 数 办 公 产 品 只 能 实现 部 分 功能 ， 集 成 性 较 差 。 形 成 这 
种 状况 的 主要 原因 是 没有 统一 的 标准 和 规范 ， 产 品 之 间 缺 乏 兼容 性 ， 难 以 形成 整体 产业 

(2) 电子 数据 交换 。 电 子 数据 交换 (Electronic Data Interchange，EDI) 是 一 种 新 型 的 电子 
贸易 工具 ， 是 计算 机 、 通 信和 现代 管理 技术 相 结合 的 产物 。 它 通过 计算 机 通信 网 络 将 贸易 、 运 
输 、 保 险 、 银 行 和 海关 等 行业 信息 表现 为 国际 公信 的 标准 格式 ， 实 现 公司 之 间 的 数据 交换 和 处 
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理 ， 并 完成 以 贸易 为 中 心 的 整个 交易 过 程 。 由 于 使 用 EDI 可 以 减少 甚至 消除 贸易 过 程 中 的 纸 质 
文件 ， 因 此 又 被 通俗 地 称 为 “无 纸 贸易 ”EDI 传输 的 文件 具有 跟踪 、 确认 、 防 算 改 、 防 冒 领 功 
能 ， 以 及 一 系列 安全 保密 功能 ， 并 具有 法 律 效力 。 中 国 公用 电子 数据 交换 业务 网 (CHINAEDI) 
是 面向 社会 各 行业 开放 的 公用 EDI 网 络 ， 其 应 用 范围 涉及 电子 报关 、 电 子 报税 、 银 行 托 收 、 港 
口 集装箱 运输 和 铁路 货运 ， 以 及 制造 业 和 商业 订单 的 处 理 等 。 

(3) 远程 教育 。 远 程 网 络 教学 是 利用 因特网 技术 ， 与 教育 资源 相 结合 ， 在 计算 机 网 络 上 进 
行 的 教学 方式 。 通 过 网 络 进行 教育 最 明显 的 优势 是 可 以 使 有 限 的 教育 资源 成 为 近乎 无 限 的 、 不 
受 时 空 和 资金 限制 的 、 人 人 可 以 享受 的 全 民 教 育 资源 。 网 络 教学 利用 现代 通信 技术 实施 远程 交 
互 作用 ， 学 习 者 可 以 与 远 地 的 教师 通过 电子 邮件 、BBS 等 建立 交互 联系 ， 学 员 之 间 也 可 进行 类 
似 的 交流 和 互助 学 习 。 网 络 教学 可 采用 多 种 多 样 的 教学 形式 ， 可 以 进行 个 别 化 教学 ， 也 可 以 进 
行 小 组 协作 学 习 ， 还 可 以 接受 远程 广播 教育 。 

(4) 电子 银行 。 电 子 银行 是 一 种 在 线 服务 系统 ， 它 以 因特网 为 媒介 ， 为 客户 提供 银行 账户 
信息 查询 、 转 账 付款 、 在 线 支付 和 代理 业务 等 自助 金融 服务 。 这 种 系统 需要 采用 高 强度 加 密 算 
法 ， 客 户 的 资料 和 信用 卡 信息 才 不 会 被 外 界 获取 。 电 子 银行 的 出 现 标志 着 人 类 的 交换 方式 已 经 
从 物 物 交换 、 货 币 交 换 发 展 到 了 信息 交换 的 新 阶段 。 一 般 商 业 银行 开办 的 网 上 银行 都 提供 信用 
卡 账 务 信息 查询 、 转 账 、 基 金 业务 、 外 汇 买卖 、 在 线 支 付 、 异 地 汇款 、 代 缴 各 种 费用 以 及 个 人 
理财 等 金融 服务 。 

(5) 证 券 和 期 货 交易 。 证 券 和 期 货 交 易 是 一 种 高 利润 、 高 风险 的 投资 方式 ， 由 于 行情 变化 
很 快 ， 所 以 投资 者 更 加 依赖 于 及 时 准确 的 交易 信息 。 证 券 和 期 货 市 场 通过 计算 机 网 络 提供 行情 
分 析 和 预测 、 资 金管 理 和 投资 计划 等 服务 。 还 可 以 通过 无 线 网 络 将 各 机 构 相 连 ， 利 用 手持 通信 
设备 输入 交易 信息 ， 通 过 无 线 网 络 迅速 传递 到 计算 机 、 报 价 服务 系统 和 交易 大 厅 的 显示 板 。 管 
理 员 、 经 纪 人 和 交易 者 也 可 以 迅速 利用 手持 通信 设备 直接 进行 交易 ， 避 免 了 由 于 时 间 延 误 所 造 
成 的 损失 。 

(6) 娱乐 和 在 线 游戏 。 随 着 宽带 通信 与 视频 演播 的 快速 发 展 ， 网 络 在 线 游戏 正在 逐步 成 为 
因特网 娱乐 的 重要 组 成 部 分 ， 也 是 互联 网 最 富 群 众 性 和 最 有 潜力 的 赢利 点 。 一 般 而 言 ， 计 算 机 
游戏 可 以 分 为 3 类 : 完全 不 具备 联网 功能 的 单机 游戏 、 具 备 局 域 网 联网 功能 的 多 人 联网 游戏 以 
及 基于 因特网 的 多 用 户 游戏 。 最 后 一 种 游戏 有 大 型 的 客户 端 软件 和 复杂 的 后 台 服 务 器 系统 。 目 
前 世界 各 地 大 批 的 网 络 游戏 犹如 雨后春笋 般 涌 现 出 来 ， 已 经 成 为 网 络 经 济 新 的 增长 点 。 


1.3 我国 互联 网 的 发 展 




















我 国 互联 网 的 发 展 始 于 20 世纪 80 年 代 末 。1987 年 9 月 20 日 ， 钱 天 白 教授 通过 意大利 公 
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用 分 组 交换 网 TTAPAC 设 在 北京 的 PAD 发 出 我 国 的 第 一 封 电子 邮件 , 与 德国 卡尔 斯 鲁 厄 大 学 进 
行 通信 ， 揭 开 了 中 国人 使 用 Intemet 的 序幕 。 

1989 年 9 月 ， 国 家 计 委 组 织 建 立 中 关 村 地 区 教育 与 科研 示范 网 络 (NCFC)。 立 项 的 主要 目标 
是 在 北京 大 学 、 清 华 大 学 和 中 科 院 3 个 单位 间 建 设 高 速 互联 网 络 ， 并 建立 一 个 超级 计算 中 心 ， 
这 个 项 目 于 1992 年 建设 完成 。 

1990 年 10 月 ， 中 国正 式 在 DDN-NIC 注册 登记 了 我 国 的 项 级 域名 CN。1993 年 4 月， 中国 
科学 院 计算 机 网 络 信息 中 心 召集 部 分 网 络 专家 调查 了 各 国 的 域名 系统 ， 据 此 提出 了 我 国 的 域名 

1994 年 1 月 4 日 ，NCFC 工程 通过 美国 Sprint 公司 连 入 Intemet 的 64k 国际 专线 开通 ， 实 
现 了 与 nternet 的 全 功能 连接 ， 从 此 我 国正 式 成 为 有 Internet 的 国家 。 此 事 被 国家 统计 公报 列 为 
1994 年 重大 科技 成 就 之 一 。 

从 1994 年 开始 ， 分 别 由 国家 计 委 、 邮 电 部 、 国 教 教委 和 中 科 院 主持 ， 建 成 了 我 国 的 四 大 因 特 
网 ， 即 中 国 金桥 信息 网 、 中 国 公 用 计算 机 互联 网 、 中 国教 育 科 研 网 和 中 国 科 技 网 。 在 短 短 几 年 
间 ， 这 些 主干 网 络 就 投入 使 用 ， 形 成 了 国家 主干 网 的 基础 。 

1996 年 以 后 , 我 国 互联 网 的 发 展 进入 应 用 平台 建设 和 增值 业务 开发 阶段 。 中 国 互联 网 进入 
了 空前 活跃 的 高 速 发 展 时 期 。 一 大 批 中 文 网 站 ， 包 括 综合 性 的 “门户 ”网 站 和 各 种 专业 性 的 网 
站 纷纷 出 现 ， 提 供 新 闻 报 道 、 技 术 咨询 、 软 件 下 载 和 休闲 娱乐 等 ICP 服务 ， 以 及 虚拟 主机 、 域 
名 注册 、 免 费 空间 等 技术 支持 服务 。 与 此 同时 ， 各 种 增值 服务 也 逐步 展开 ， 其 中 主要 有 电子 商 
务 、IP 电话 、 视 频 点 播 和 无 线 上 网 等 。 在 互联 网 的 应 用 面 扩 宽 和 普及 率 快速 增长 的 前 提 下 ， 一 
些 中 国 互联 网 公司 开始 进军 海外 股市 纳 斯 达 克 ， 成 为 世纪 之 交 中 国 新 经 济 发 展 的 重要 标志 。 

1997 年 6 月 3 日 , 根据 国务 院 信息 化 工作 领导 小 组 办 公 室 的 决定 , 中 国 科学 院 网 络 信息 中 
心 组 建 了 中 国 互联 网 络 信息 中 心 CCNNIC)， 同 时 ， 国 务 院 信息 化 工作 领导 小 组 办 公 室 宣 布 成 
立 中 国 互 联网 络 信息 中 心 工作 委员 会 。 

1997 年 11 月 ，CNNIC 发 布 了 第 1 次 《中 国 Intermet 发 展 状 况 统计 报告 》。 截 止 到 1997 年 
10 月 31 日 ， 我 国共 有 上 网 计算 机 29.9 万 台 ， 上 网 用 户 62 万 人 ，CN 下 注册 的 域名 4066 个 ， 
WWW 站 点 1500 个 ， 国 际 出 口 带 宽 为 18.64Mbps。 

2017 年 1 月 22 日 下 午 ， 中 国 互联 网 络 信息 中 心 (CNNIC) 发 布 第 39 次 《中 国 互联 网 络 
发 展 状况 统计 报告 》。 截 至 2016 年 12 月 ， 中 国 网 民 规 模 达 7.31 亿 ， 相 当 于 欧洲 人 口 总 量 ， 互 
联网 普及 率 达 到 53.2%， 超 过 全 球 平均 水 平 3.1 个 百分点 ， 超 过 亚洲 平均 水 平 7.6 个 百分点 。 截 
至 2016 年 12 月 , 我 国手 机 网 民 规模 达 6.95 亿 ， 增 长 率 连续 三 年 超过 10%。 人 台式 电脑 、 笔 记 本 
电脑 的 使 用 率 均 出 现下 降 ， 手 机 不 断 挤占 其 他 个 人 上 网 设备 的 使 用 。 
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1.4 计算 机 网 络 体系 结构 


计算 机 网 络 发 展 到 今天 ， 已 经 演变 成 一 种 复杂 而 庞大 的 系统 。 在 计算 机 专业 人 员 中 ， 对 付 
这 种 复杂 系统 的 常规 方法 就 是 把 系统 组 织 成 分 层 的 体系 结构 ， 即 把 很 多 相关 的 功能 分 解 开 来 ， 
逐个 予以 解释 和 实现 。 读 者 以 后 会 看 到 ， 在 分 层 的 体系 结构 中 ， 每 一 层 都 是 一 些 明确 定义 的 相 
互 作用 的 集合 ， 即 对 等 协议 ， 层 之 间 的 界限 是 另外 一 些 相互 作用 的 集合 ， 称 为 做 接口 协议 。 下 
面 首先 通过 一 个 简单 的 例子 说 明 计 算 机 网 络 应 该 提供 的 各 种 功能 。 


1.4.1 计算 机 网 络 的 功能 特性 


研究 计算 机 网 络 的 基本 方法 是 全 面 深入 地 了 解 计算 机 网 络 的 功能 特性 ， 即 计算 机 网 络 是 怎 
样 在 两 个 端 用 户 之 间 提供 访问 通路 的 。 理 解 了 计算 机 网 络 的 功能 特性 才能 够 掌握 各 种 网 络 的 特 
点 ， 才 能 了 解 网 络 运行 的 原理 。 

首先 ， 计 算 机 网 络 应 该 在 源 节点 和 目标 节点 之 间 提供 传输 线路 ， 这 种 传输 线路 可 能 要 经 过 
一 些 中间 节 点 。 如 果 是 远程 联网 ， 则 要 通过 电信 公司 提供 的 公用 通信 线路 ， 这 些 通信 线路 可 能 
是 地 面 链 路 ， 也 可 能 是 卫星 链 路 。 如 果 电 信 公 司 提供 的 通信 线路 是 模拟 的 ， 还 必须 用 Modem 
进行 信号 变换 ， 因 而 网 络 应 该 提供 与 Modem 的 物理 的 和 电气 的 接口 。 

计算 机 通信 有 一 个 特点 ， 即 间 吹 性 或 突 发 性 。 人 们 打 电 话 时 信息 流 是 平稳 而 连续 的 ， 速 率 
也 不 太 高 。 然 而 计算 机 之 间 的 通信 不 是 这 样 。 当 用 户 坐 在 终端 前 思考 时 , 线路 中 没有 信息 流 过 。 
当 用 户 发 出 文件 传输 命令 时 ， 突 然 来 到 的 数据 需要 迅速 地 发 送 ， 然 后 又 沉默 一 段 时 间 。 因 而 计 
算 机 之 间 的 通信 和 链 路 要 有 较 高 的 带宽 ， 同 时 由 许多 节点 共享 高 速 线路 ， 以 获得 合理 经 济 的 使 用 
效率 。 计 算 机 网 络 的 设计 者 发 明了 一 些 新 的 交换 技术 来 满足 这 种 特殊 的 通信 要 求 ， 例 如 报 文 交 
换 和 分 组 交换 技术 。 计 算 机 网 络 的 功能 之 一 是 对 传输 的 信息 流 进 行 分 组 ， 加 入 控制 信息 ， 并 把 
分 组 正确 地 传送 到 目的 地 。 

加 入 分 组 的 控制 信息 主要 有 两 种 : 一 种 是 接收 端 用 于 验证 是 否 正确 接收 的 差错 控制 信息 ; 
另 一 种 是 指明 数据 包 的 发 送 端 和 接收 端的 地 址 信息 。 因 而 ， 网 络 必须 具有 差错 控制 功能 和 寻 址 
功能 。 另 外 ， 当 多 个 节点 同时 要 求 发 送 分 组 时 ， 网 络 还 必须 通过 某 种 冲突 仲裁 过 程 决定 谁 先 发 
送 ， 谁 后 发 送 。 所 有 这 些 带 有 控制 信息 的 数据 包 在 网 络 中 通过 一 个 个 节点 正确 地 向 前 传送 的 功 
能 叫 作 数据 链 路 控制 (Data Link Control，DLC) 功能 。 

关于 寻 址 功能 ， 还 有 更 复杂 的 一 面 。 如 果 网 络 有 多 个 转发 节点 ， 则 当 转 发 节点 收 到 数据 包 
时 必须 确定 下 一 个 转发 的 对 象 ， 因 此 每 一 个 转发 节点 都 要 有 根据 网 络 配置 和 交通 情况 决定 路 由 
的 能 力 。 
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复杂 网 络 中 的 通信 类 似 于 道路 系统 中 的 交通 情况 ， 弄 得 不 好 会 导致 交通 拥挤 、 阻 塞 ， 甚 至 
完全 瘫痪 ， 所 以 计算 机 网 络 要 有 流量 控制 和 拥塞 控制 功能 。 当 网 络 中 的 通信 量 达 到 一 定 程度 时 
必须 限制 进入 网 络 中 的 分 组 数 ， 以 免 造 成 死 锁 。 万 一 交通 完全 阻塞 ， 也 要 有 解除 阻塞 的 办 法 。 

两 个 用 户 通过 计算 机 网 络 会 话 时 ， 不 仅 开 始 时 要 有 会 话 建 立 的 过 程 ， 结 束 时 还 要 有 会 话 终 
止 的 过 程 。 同 时 它们 之 间 的 双向 通信 也 需要 进行 管理 ， 以 确定 什么 时 候 该 谁 说 ， 什 么 时 候 该 谁 
昕 。 一 旦 发 生 差错 ， 该 从 哪儿 说 起 。 

最 后 ， 通 信 双 方 可 能 各 有 一 些 特殊 性 需要 统一 ， 才 能 彼此 理解 。 例 如 ， 用 户 使 用 的 终端 不 
同 ， 字 符 集 和 数据 格式 各 异 ， 甚 至 它们 之 间 还 可 能 使 用 某 种 安全 保密 措施 ， 这 些 都 需要 规定 统 
一 的 协议 , 以 消除 不 同系 统 之 间 的 差别 。 这 样 ,才能 保证 用 户 使 用 计算 机 网 络 进行 正常 的 通信 。 

由 上 面 的 介绍 可 知 ， 网 络 中 的 通信 是 相当 复杂 的 ， 涉 及 一 系列 相互 作用 的 功能 过 程 。 用 户 
与 远 地 应 用 程序 通信 的 过 程 可 以 用 图 1-3 表示 ， 以 上 提 到 的 主要 功能 过 程 按 顺 序列 在 图 中 。 用 
户 输入 的 字符 流 按 标 准 协 议 进行 转换 ， 然 后 加 入 各 种 控制 位 和 顺序 号 用 于 进行 会 话 管理 ， 再 进 
行 分 组 ， 加 入 地 址 字段 和 校 验 字段 等 。 上 述 信 息 经 过 Modem 的 变换 ， 送 入 公共 载波 线路 传送 。 
在 接收 端 进行 相反 的 处 理 ， 就 可 得 到 发 送 的 信息 。 值 得 注意 的 是 ， 整 个 通信 过 程 经 过 这 样 的 功 
能 分 解 后 ， 得 到 的 功能 元 素 总 是 成 对 地 出 现 。 例 如 ， 一 对 Modem， 一 对 数据 链 路 控制 元 素 等 。 
每 一 对 功能 元 素 互 相通 信 ， 它 们 之 间 的 协议 不 涉及 相 邻 层次 的 功能 。 例 如 ， 一 对 Modem 之 间 的 对 
话 不 涉及 传输 线路 的 细节 ， 也 不 必 了 解 它 们 传输 的 比特 流 的 意义 。 而 数据 链 路 控制 功能 则 与 
Modem 的 调制 与 解 调 功能 无 关 ， 也 与 数据 帧 中 信息 字段 的 内 容 无 关 ，DLC 元 素 的 作用 只 是 把 
数据 帧 从 发 送 节点 正确 地 传送 到 接收 节点 。 这 样 , 把 一 对 功能 元 素 从 整个 功能 过 程 中 孤立 出 来 ， 

















就 形成 了 分 层 的 体系 结构 。 
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图 1-3 用 户 与 应 用 程序 通信 的 过 程 


可 以 把 这 些 功 能 层 按 作用 范围 分 类 。Modem 和 数据 链 路 控制 功能 是 相 邻 节点 间 的 作用 , 与 
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同一 线路 上 的 其 他 节点 无 关 ; 协议 转换 、 会 话 管理 和 打包 / 拆 包 功能 涉及 一 对 端 节点 ， 与 端 节点 
之 间 的 转发 节点 无 关 。 然 而 ， 寻 址 和 路 由 功能 则 涉及 多 个 节点 ， 完 成 这 样 的 功能 要 考虑 到 网 络 
中 的 所 有 节点 ， 以 便 数 据 包 可 以 沿 着 一 条 最 佳 线路 逐个 节点 地 向 前 传送 ， 最 后 到 达 目 的 地 。 

也 可 以 从 另 一 个 角度 看 待 这 种 分 层 结构 ， 寻 址 一 路 由 一 数据 分 组 之 上 的 功能 层次 对 端 用 户 
隐藏 了 通信 网 络 的 细节 , 因而 这 些 功能 层次 叫 作 高 层 功能 , 它们 下 边 的 功能 层次 叫 作 低层 功能 。 
这 样 的 功能 分 解 与 图 1-1 中 把 整个 计算 机 网 络 划分 为 资源 子 网 和 通信 子 网 是 一 致 的 。 

以 上 功能 分 解 描绘 出 一 幅 规整 的 图 画 。 事 实 上 ， 情 况 远 不 是 如 此 简单 。 首 先 ， 有 些 功 能 会 
出 现在 一 个 以 上 的 层次 。 例 如 多 路 复 用 功能 ， 即 几 个 信息 流 交 叉 地 通过 同一 线路 的 功能 ， 会 
现在 数据 链 路 控制 过 程 中 ， 也 会 出 现在 公共 载波 传输 系统 中 。 其 次 ， 几 个 端 用 户 可 能 会 多 路 访 
问 同一 通路 ， 当 一 个 用 户 的 数据 包 从 端 节点 出 发 进入 更 下 面 的 功能 层次 时 ， 就 存在 选择 在 哪 一 
层 与 其 他 用 户 的 信息 流 合并 的 问题 。 

问题 的 复杂 性 还 在 于 同一 节点 中 的 层次 之 间 还 有 控制 信息 的 通信 。 例 如 在 一 个 中 间 节 点 
上 ， 路 由 功能 必须 给 DLC 功能 提供 地 址 ， 以 便 DLC 能 把 数据 包 转 发 到 适当 的 中 间 节 点 上 。 还 
需 指出 的 是 ， 有 些 功 能 层 可 能 很 简单 ， 甚 至 完全 没有 。 例 如 ， 在 局 域 网 中 就 不 需要 路 由 功能 ; 
对 于 租用 线路 ， 则 没有 物理 层 。 

用 “接口 ”来 描述 相 邻 层 之 间 的 相互 作用 。 在 两 个 相 邻 层 之 间 ， 下 层 为 上 层 提供 服务 ， 上 
层 利用 下 层 提供 的 服务 实现 规定 给 自己 的 功能 ， 这 种 服务 和 被 服务 的 关系 就 是 人 们 所 说 的 接口 
关系 。 例 如 ，Modem 和 DLC 之 间 必 须 按 规 定 的 电气 接口 相互 作用 ;用 户 程序 和 网 络 之 间 也 应 
规定 统一 的 接口 关系 ， 以 便于 程序 的 移植 。 

至 此 ， 已 引入 了 功能 层次 的 概念 。 对 等 层 之 间 按 规定 的 协议 通信 ， 相 邻 层 之 间 按 接口 关系 
提供 服务 和 接受 服务 。 把 实现 复杂 的 网 络 通信 过 程 的 各 种 功能 划分 成 这 样 的 层次 结构 ， 就 是 网 
络 的 分 层 体系 结构 。 


1.4.2 开放 系统 五 连 参考 模型 的 基本 概念 


所 谓 开放 系统 ， 是 指 遵 从 国际 标准 的 、 能 够 通过 互 连 而 相互 作用 的 系统 。 显 然 ， 系 统 之 间 
的 相互 作用 只 涉及 系统 的 外 部 行为 ， 与 系统 内 部 的 结构 和 功能 无 关 。 因 而 ， 关 于 互 连 系 统 的 任 
何 标 准 都 只 是 关于 系统 外 部 特性 的 规定 。1979 年 ，ISO 公布 了 开放 系统 互 连 参考 模型 (Open 
System Interconnection/Reference Model，OSLRM)。 同 时 ，CCITT (Consultative Committee of 
International Telegraph and Telephone) 认可 并 采纳 了 这 一 国际 标准 的 建议 文本 〈 称 为 X.200)。 
OSIRM 为 开放 系统 互 连 提供 了 一 种 功能 结构 的 框架 ，ISO 7498 文件 对 它 做 了 详细 的 规定 和 
描述 。 
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OSIRM 是 一 种 分 层 的 体系 结构 。 从 风 辑 功能 看 ， 每 一 个 开放 系统 都 是 由 一 些 连续 的 子 系 
统 组 成 ， 这 些 子 系统 处 于 各 个 开放 系统 和 分 层 的 交叉 点 上 ， 一 个 层次 由 所 有 互 连 系统 的 同一 行 
上 的 子 系统 组 成 ， 如 图 1-4 所 示 。 例 如 ， 每 一 个 互 连 系统 逻辑 上 是 由 物理 电路 控制 子 系统 、 分 
组 交换 子 系统 和 传输 控制 子 系统 等 组 成 ， 而 所 有 互 连 系统 中 的 传输 控制 子 系统 共同 形成 了 传 
输 层 。 











物理 传输 介质 











图 1-4 开放 系统 的 分 层 体 系 结构 


开放 系统 的 每 一 个 层次 由 一 些 实体 组 成 。 实 体 是 软件 元 素 ( 如 进程 等 ) 或 硬件 元 素 (如 智 
能 IO 芯片 等 ) 的 抽象 。 处 于 同一 层 中 的 实体 叫 对 等 实体 ， 一 个 层次 由 多 个 实体 组 成 ， 这 一 点 
正 说 明了 层次 的 分 布 处 理 特征 。 另 一 方面 ， 处 于 同一 开放 系统 中 各 个 层次 的 实体 则 代表 了 系统 
的 协议 处 理 能 力 ， 即 由 其 他 开放 系统 所 看 到 的 外 部 功能 特性 。 

为 了 叙述 上 的 方便 , 任何 层 都 可 以 称 为 (N) 层 , 它 的 上 下 邻 层 分 别称 为 (N+1) 层 和 CN-1) 
层 。 同 样 的 提 法 可 以 应 用 于 所 有 和 层次 有 关 的 概念 ， 例 如 ，(CN) 层 的 实体 称 CN) 实体 ， 如 此 


二 oo 
分 层 的 基本 想法 是 每 一 层 都 在 它 的 下 层 提 供 的 服务 基础 上 提供 更 高 级 的 增值 服务 , 而 最 高 
层 提供 能 运行 分 布 式 应 用 程序 的 服务 。 这 样 ， 分 层 的 方法 就 把 复杂 问题 分 解 开 了 。 分 层 的 另外 
一 个 目的 是 保持 层次 之 间 的 独立 性 ， 其 方法 就 是 用 原 语 操作 定义 每 一 层 为 上 层 提供 的 服务 ， 而 
不 考虑 这 些 服务 是 如 何 实 现 的 ， 即 允许 一 个 层次 或 层次 的 集合 改变 其 运行 的 方式 ， 只 要 它 能 为 
上 层 提 供 同样 的 服务 就 行 。 除 最 高 层 外 ， 在 互 连 的 各 个 开放 系统 中 分 布 的 所 有 (CN) 实体 协同 
工作 ， 为 所 有 (CNH) 实体 提供 服务 。 也 可 以 说 ， 所 有 CN) 实体 在 CN-1) 层 提供 的 服务 的 基 
础 上 向 (N+1) 层 提 供 增值 服务 ， 如 图 1-5 所 示 。 例 如 ， 网 络 层 在 数据 链 路 层 提供 的 点 到 点 通 
信服 务 的 基础 上 增加 了 中 继 功 能 。 类 似 地 ， 传 输 层 在 网 络 层 服务 的 基础 上 增加 了 端 到 端的 控制 

功能 。 
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(N+1) 层 (N+1) 实体 
(N) 服务 “人 CN) SAP 
(CN) 层 CN) 实体 
(NI 腿 (N-1) SAP 
(N-1) 层 (N-1) 实体 


图 1-5 实体 、 服 务 访问 点 和 协议 


CN) 实体 之 间 的 通信 只 使 用 (N-1) 服务 。 最 低层 实体 之 间 通 过 OSI 规定 的 物理 介质 通信 ， 
物理 介质 形成 了 OSI 体系 结构 中 的 (0) 层 。CN) 实体 之 间 的 合作 关系 由 CN) 协议 来 规范 。(CN) 
协议 是 由 公式 和 规则 组 成 的 集合 ， 它 精确 地 定义 了 (CN) 实体 如 何 协同 工作 ， 利 用 (N-1) 服务 
去 完成 C(N) 功能 ， 以 便 向 (NH) 实体 提供 服务 。 例 如 ， 传 输 层 协议 定义 了 传输 站 如 何 协同 工 
作 ， 利 用 网 络 服务 向 会 话 实体 提供 传输 服务 。 同 一 个 开放 系统 中 的 CN) 实体 之 间 的 直接 通信 
对 外 部 是 不 可 见 的 ， 因 而 不 包含 在 OSI 体系 结构 中 。 

(N+1) 实体 从 CN) 服务 访问 点 (Service Access Point，SAP) 获得 (N) 服务 。(N) SAP 
表示 CN) 实体 与 N+1) 实体 之 间 的 罗 辑 接口 。 一 个 CN) SAP 只 能 由 一 个 CN) 实体 提供 ， 
也 只 能 被 一 个 (N+1) 实体 所 使 用 。 然 而 ， 一 个 CN) 实体 可 以 提供 几 个 CN) SAP，, 一 个 (N+1) 
实体 也 可 能 利用 几 个 CN) SAP 为 其 服务 。 事 实 上 ，(N) SAP 只 是 代表 了 (CN) 实体 和 (N+1) 
实体 建立 服务 关系 的 手段 。 

OSIRM 用 抽象 的 服务 原 语 说 明 一 个 功能 层 提 供 的 服务 ， 这 些 服务 原 语 采用 了 过 程 调用 的 
形式 。 服 务 可 以 看 作 是 层 间 的 接口 ，OSI 只 为 特定 层 协议 的 运行 定义 了 所 需 的 原 语 和 参数 ， 而 
互 连 系统 内 部 层次 之 间 的 局 部 流 控 所 需 的 原 语 和 参数 ， 以 及 层次 之 间 交 换 状 态 信息 的 原 语 和 参 
数 都 不 包括 在 OSI 服务 的 定义 之 中 。 

服务 分 为 面向 连接 的 服务 和 无 连接 的 服务 。 对 于 面向 连接 的 服务 , 有 4 种 形式 的 服务 原 语 ， 
即 请 求 原 语 、 指 示 原 语 、 响 应 原 语 和 确认 原 语 ， 如 图 1-6 所 示 。(N) 层 提供 CN) SAP 之 间 的 
连接 ， 这 种 连接 是 CN) 服务 的 组 成 部 分 。 最 通常 的 连接 是 点 到 点 的 连接 。 但 是 也 可 以 在 多 个 
端点 之 间 建 立 连接 ， 多 点 连接 和 实际 网 络 中 的 广播 通信 相对 应 。(N) 连接 的 两 端 叫 作 CN) 连 
接 端 点 (Connection End Point，CEP)，(N) 实体 用 本 地 的 CEP 来 标识 它 建立 的 各 个 连接 。 另 
外 ， 在 网 络 服务 中 还 有 一 种 叫 作 数据 报 的 无 连接 的 通信 ， 它 对 面向 事务 处 理 的 应 用 很 重要 ， 所 
以 后 来 也 增添 到 OSIRM 中 。 

下 面 说 明 几 个 与 连接 有 关 的 概念 。 
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图 1-6 抽象 的 服务 原 语 


1.， 连接 的 建立 和 释放 


当 某 个 (N+1) 实体 要 求 建立 与 远方 的 (N+1) 实体 的 连接 时 ， 它 必须 给 当地 的 CN) SAP 
提供 远方 (N) SAP 的 地 址 。CN) 连接 建立 后 ，(N 十 1) 实体 就 可 以 用 它们 自己 一 端的 (N) CEP 
来 引用 该 连接 。 例 如 ， 会 话 实体 A 要 求 和 远方 的 会 话 实体 B 连接 ， 则 它 必须 知道 B 的 传输 地 
址 TA (B)。 为 了 建立 这 个 连接 , 会话 实 体 A 请 求 传输 层 建立 地 址 为 TA (A) 的 SAP 和 远方 的 
地 址 为 TA (B) 的 SAP 的 连接 。 该 连接 建立 后 ， 会 话 实体 A 和 B 都 可 以 用 它们 自己 一 端的 传 
输 层 CEP 标识 符 来 引用 它 。 

(N) 连接 的 建立 和 释放 是 在 NJ) 连接 之 上 动态 地 进行 的 。CN) 连接 的 建立 意味 着 两 个 
实体 间 的 (N-1) 连接 可 以 利用 ， 如 果 (N-1) 连接 不 存在 ， 则 必须 预先 建立 或 同时 建立 (N-1) 
连接 ， 而 这 又 要 求 (Y-2) 连接 可 用 。 依 此 类 推 ， 直 到 最 底层 连接 可 用 。 显 然 ， 最 底层 的 物理 
线路 连接 必须 存在 ， 所 有 上 层 连 接 的 建立 才 有 物理 基础 。 


2. 多 路 复 用 和 分 流 


在 (N-1) 连接 之 上 可 以 构造 出 3 种 具体 的 CN) 连接 。 

(1) 一 一 对 应 式 : 每 一 个 CN) 连接 建立 在 一 个 CN-1) 连接 之 上 。 

(2) 多 路 复 用 式 : 几 个 〈N) 连接 多 路 访问 同一 个 NJ) 连接 。 

(3) 分 流 式 : 一 个 CN) 连接 建立 在 几 个 (N41) 连接 之 上 。 这 样 ，(N) 连接 上 的 通信 被 分 
配 到 几 个 (N-1) 连接 上 进行 传输 。 

邻 层 连接 之 间 的 3 种 对 应 关系 在 实际 应 用 中 都 是 可 能 的 。 例 如, 单独 一 个 终端 连接 到 XX.25 
公共 数据 网 上 ， 则 在 一 个 网 络 连接 〈 虚 电路 ) 上 只 实现 一 个 传输 连接 。 如 果 使 用 了 终端 集中 器 ， 
则 各 个 终端 上 的 传输 连接 被 多 路 复 用 到 一 个 网 络 连接 上 ， 这 样 就 降低 了 通信 费用 。 相 反 ， 如 果 
把 一 个 传输 连接 分 流 到 几 个 网 络 连接 上 传输 , 则 可 以 得 到 更 高 的 春 吐 率 , 并 提高 传输 的 可 靠 性 。 


3. 数据 传输 
各 个 实体 之 间 的 信息 传输 是 由 各 种 数据 单元 实现 的 ， 这 些 数 据 单元 如 图 1-7 所 示 。 
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图 1-7 各 种 数据 单元 


CN) 协议 控制 信息 通过 (N-1) 连接 在 两 个 CN) 实体 之 间 交 换 ， 用 于 协调 (N) 实体 之 间 
的 合作 关系 。 例 如 ，HDLC 的 帧 头 和 帧 尾 。CN) 用 户 数据 来 自 上 层 的 (N+1) 实体 。 这 种 数据 
也 在 两 个 CN) 实体 之 间 传送 ， 但 CN) 实体 并 不 了 解 也 不 解释 其 内 容 。 例 如 ， 网 络 实体 的 数据 
被 包装 在 HDLC 信息 帧 中 由 两 个 数据 链 路 实体 透明 地 传输 。CN) 协议 数据 单元 包含 (N) 协议 
控制 信息 ， 也 可 能 包含 (N) 用 户 数据 。 例 如 HDLC 帧 。 

CN) 接口 控制 信息 是 在 (N+1) 实体 和 CN) 实体 之 间 交 换 的 信息 ， 用 于 协调 两 个 实体 间 
的 合作 。 例 如 ， 在 网 络 实体 和 数据 链 路 实体 间 交 换 的 系统 专用 控制 信息 : 缓冲 区 地 址 和 长 度 、 
最 大 等 待 时 间 等 。CN) 接口 数据 是 (N+1) 实体 交 给 CN) 实体 发 往 远 端 的 信息 ， 或 者 是 CN) 
实体 收 到 的 、 由 远 端 (N+1) 实体 发 来 的 信息 。 例 如 ， 由 数据 链 路 实体 透明 传输 的 一 段 文字 。 
CN) 接口 数据 单元 是 (N+1) 实体 和 (CN) 实体 在 一 次 交互 作用 中 通过 服务 访问 点 传送 的 信息 
单位 ， 由 〈N) 接口 控制 信息 和 (CN) 接口 数据 组 成 。 一 个 CN) 连接 两 端 传送 的 (CN) 接口 数 
据 单元 的 大 小 可 以 不 同 ， 例 如 ， 网 络 实体 和 为 之 服务 的 数据 链 路 实体 可 以 在 一 次 交互 作用 中 传 
送 一 个 数据 块 。 

(CN) 服务 数据 单元 是 通过 CN) 连接 从 一 端 传送 到 另 一 端的 数据 的 集合 ， 这 个 集合 在 传送 
期 间 保持 其 标识 不 变 。(N) 服务 数据 单元 可 能 通过 一 个 或 多 个 CN) 协议 数据 单元 传送 ， 并 在 
到 达 接 收 端 后 完整 地 交 给 上 层 的 CNH) 实体 。 

OSIRM 的 网 络 体系 结构 如 图 1-8 所 示 ， 下 面 简要 说 明 OSIURM 七 层 协 议 的 主要 功能 。 

1) 应 用 层 

这 是 OSI 的 最 高 层 。 这 一 层 的 协议 直接 为 端 用 户 服务 ， 提 供 分 布 式 处 理 环境 。 应 用 层 管理 
开放 系统 的 互 连 , 包括 系统 的 启动 、 维 持 和 终止 ， 并 保持 应 用 进程 间 建 立 连 接 所 需 的 数据 记录 ， 
其 他 层 都 是 为 支持 这 一 层 的 功能 而 存在 的 。 

一 个 应 用 是 由 一 些 合作 的 应 用 进程 组 成 的 ， 这 些 应 用 进程 根据 应 用 层 协 议 互相 通信 。 应 用 
进程 是 数据 交换 的 源 和 宿 ， 也 可 以 被 看 作 是 应 用 层 的 实体 。 应 用 进程 可 以 是 任何 形式 的 操作 过 
程 ， 例 如 ， 手 工 的 、 计 算 机 化 的 或 工业 和 物理 过 程 等 。 这 一 层 协议 的 例子 有 在 不 同系 统 间 传输 
文件 的 协议 、 电 子 邮 件 协议 和 远程 作业 输入 协议 等 。 





下 16 和。 9 各 工程 ii 教程 (第 5 版 ) 














































































物理 层 | 一 -~| 物理 层 | 和 -一 二 | 物理 层 
IMP IMP 








一 一 网 络 层 主机 一 一 IMP 协议 
数据 链 路 层 主机 一 一 IMP 协议 
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图 1-8 OSI 模型 的 网 络 体系 结构 


2) 表示 层 

表示 层 的 用 途 是 提供 一 个 可 供应 用 层 选择 的 服务 的 集合 ,使 得 应 用 层 可 以 根据 这 些 服务 功 
能 解释 数据 的 含义 。 表 示 层 以 下 各 层 只 关心 如 何 可 靠 地 传输 数据 ， 而 表示 层 关心 的 是 所 传输 数 
据 的 表现 方式 、 它 的 语法 和 语义 。 表 示 服 务 的 例子 有 统一 的 数据 编码 、 数 据 压缩 格式 和 加 密 技 
术 等 。 

3) 会 话 层 

会 话 层 支持 两 个 表示 层 实 体 之 间 的 交互 作用 。 它 提供 的 会 话 服务 可 分 为 以 下 两 类 。 

(1) 把 两 个 表示 实体 结合 在 一 起 ， 或 者 把 它们 分 开 ， 这 叫 会 话 管理 。 

(2) 控制 两 个 表示 实体 间 的 数据 交换 过 程 ， 例 如 分 段 、 同 步 等 ， 这 一 类 叫 会 话 服务 。 

通过 计算 机 网 络 的 会 话 和 人 们 打 电 话 不 一 样 ， 更 和 人 们 当面 谈话 的 情况 不 一 样 。 对 话 的 管 
理 包括 决定 该 谁 说 ， 该 谁 听 。 长 的 对 话 〔 例 如 传输 一 个 长 文件 ) 需要 分 段 ， 一 段 一 段 地 进行 ， 
如 果 一 段 传 错 了 ， 可 以 回 到 分 界线 的 地 方 重新 传输 。 所 有 这 些 功 能 都 需要 专门 的 协议 支持 。 
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4) 传输 层 

这 一 层 在 低层 服务 的 基础 上 提供 一 种 通用 的 传输 服务 。 会 话 实体 利用 这 种 透明 的 数据 传输 
服务 而 不 必 考虑 下 层 通信 网 络 的 工作 细节 ， 并 使 数据 传输 能 高 效 地 进行 。 传 输 层 用 多 路 复 用 或 
分 流 的 方式 优化 网 络 的 传输 效率 。 当 会 话 实体 要 求 建立 一 条 传输 连接 时 ， 传 输 层 要 求 建立 一 个 
对 应 的 网 络 连接 。 如 果 要 求 较 高 的 吞吐 率 ， 传 输 层 可 能 为 其 建立 多 个 网 络 连接 ;如果 要 求 的 传 
输 速率 不 是 很 高 ， 单 独创 建 和 维持 一 个 网 络 连接 不 合算 ， 传 输 层 可 以 考虑 把 几 个 传输 连接 多 路 
复 用 到 一 个 网 络 连接 上 。 这 样 的 多 路 复 用 和 分 流 对 传输 层 以 上 是 透明 的 。 

传输 层 的 服务 可 以 提供 一 条 无 差错 按 顺 序 的 端 到 端 连接 , 也 可 能 提供 不 保证 顺序 的 独立 报 
文 传输 ， 或 多 目标 报 文 广播 。 这 些 服务 可 由 会 话 实 体 根据 具体 情况 选用 。 传 输 连 接 在 其 两 端 进 
行 流量 控制 ， 以 免 高 速 主机 发 送 的 信息 流 “ 济 没 ”低速 主机 。 传 输 层 协议 是 真正 的 源 端 到 目标 
端的 协议 ， 它 由 传输 连接 两 端的 传输 实体 处 理 。 传 输 层 下 面 的 功能 层 协议 都 是 通信 子 网 中 的 协议 。 

5) 网 络 层 

这 一 层 的 功能 属于 通信 子 网 ， 它 通过 网 络 连接 交换 传输 层 实体 发 出 的 数据 。 网 络 层 把 上 层 
传 来 的 数据 组 织 成 分 组 在 通信 子 网 的 节点 之 间 交 换 传送 。 交 换 过 程 中 要 解决 的 关键 问题 是 选择 
路 径 ， 路 径 既 可 以 是 固定 不 变 的 ， 也 可 以 是 根据 网 络 的 负载 情况 动态 变化 的 。 另 外 一 个 要 解决 
的 问题 是 防止 网 络 中 出 现 局 部 的 拥挤 或 全 面 的 阻塞 。 此 外 ， 网 络 层 还 应 有 记 账 功能 ， 以 便 根 据 
通信 过 程 中 交换 的 分 组 数 〈 或 字符 数 、 位 数 ) 收费 。 

当 传 送 的 分 组 跨越 一 个 网 络 的 边界 时 ， 网 络 层 应 该 对 不 同 网 络 中 分 组 的 长 度 、 寻 址 方式 、 
通信 协议 进行 变换 ， 使 得 异 构 型 网 络 能 够 互联 互通 。 

6) 数据 链 路 层 

这 一 层 的 功能 是 建立 、 维 持 和 释放 网 络 实体 之 间 的 数据 链 路 ， 这 种 数据 链 路 对 网 络 层 表现 
为 一 条 无 差错 的 信道 。 相 邻 节点 之 间 的 数据 交换 是 分 帧 进行 的 ， 各 帧 按 顺 序 传 送 ， 并 通过 接收 
端的 校 验 检查 和 应 答 保证 可 靠 的 传输 。 数 据 链 路 层 对 损坏 、 丢 失 和 重复 的 帧 应 能 进行 处 理 ， 这 
种 处 理 过 程 对 网 络 层 是 透明 的 。 相 邻 节 点 之 间 的 数据 传输 也 有 流量 控制 的 问题 ， 数 据 链 路 层 把 
流量 控制 和 差错 控制 合 在 一 起 进行 。 两 个 节点 之 间 传 输 数据 帧 和 发 回应 答 帧 的 双向 通信 问题 要 
有 特殊 的 解决 办 法 ， 有 时 由 反 向 传输 的 数据 帧 “ 撒 带 ”应 答 信息 ， 这 是 一 种 极 巧妙 而 又 高 效率 
的 控制 机 制 。 

7) 物理 层 

这 一 层 规定 通信 设备 机 械 的 、 电 气 的 、 功 能 的 和 过 程 的 特性 ， 用 于 建立 、 维 持 和 释放 数据 
链 路 实体 间 的 连接 。 具 体 地 说 ， 这 一 层 的 规定 都 与 电路 上 传输 的 原始 位 有 关 ， 它 涉及 什么 信号 
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代表 1， 什 么 信号 代表 0; 一 位 持续 多 少时 间 ; 传输 是 双向 的 ， 还 是 单 向 的 ; 一 次 通信 中 发 送 
方 和 接收 方 如 何 应 答 ， 设 备 之 间 连 接 件 的 尺寸 和 接头 数 ， 以 及 每 根 连 线 的 用 途 等 。 


1.5 ” 几 种 商用 网 络 的 体系 结构 


这 一 节 介绍 几 种 商用 网 络 的 体系 结构 。 这 些 网 络 体系 结构 严格 定义 了 对 等 层 之 间 的 协议 、 
它们 的 语法 《命令 和 响应 的 格式 ) 和 语义 〈 对 协议 的 解释 )， 而 把 相 邻 层 之 间 的 接口 留 给 实现 
者 决定 。 

1.5.1 SNA 


1974 年 ，IBM 公司 推出 了 系统 网 络 体系 结构 ， 这 是 一 种 以 大 型 主机 为 中 心 的 集中 式 网 络 。 
在 SNA 中 ， 主 机 运行 ACF/VTAM (Advanced Communication Facility/Virtual Telecommunication 
Access Method) 服务 ， 所 有 的 系统 资源 都 是 由 ACF/VTAM 定义 的 。SNA 协议 分 为 7 层 ， 如 图 1-9 
所 示 ， 各 层 的 功能 简 述 如 下 。 

(1) 物理 层 。 这 一 层 与 物理 传输 介质 的 机 械 、 电 气 、 功 能 和 过 程 特性 有 关 ， 提 供 了 传输 介 
质 的 接口 。SNA 没有 定义 这 一 层 的 专门 协议 ， 准 备 采 用 其 他 国际 标准 。 

(2) 数据 链 路 控制 层 。 这 一 层 的 功能 是 把 原始 的 比特 流 组 织 成 帧 ， 使 之 无 损伤 地 沿 着 噪音 
信道 从 主 站 传送 到 次 站 。SNA 定义 了 串 行 数据 链 路 控制 协议 SDLC, 同时 也 支持 IBM 令 牌 环 网 
或 其 他 局 域 网 协议 。 

(3) 路 径 控制 层 (PC)。 这 一 层 的 功能 是 在 源 节 点 和 目标 节点 之 间 建 立 一 条 邮 辑 通路 。PC 
层 也 对 数据 报 进行 分 段 和 重 装配 ， 以 便 提 高 传输 效率 。 在 一 对 节点 之 间 可 以 提供 8 条 虚 电路 ， 
每 一 条 虚 电 路 都 有 流 控 功能 。 

(4) 传输 控制 层 CTC)。 提 供 端 到 端的 面向 连接 的 服务 ， 不 支持 无 连接 的 通信 ， 可 以 为 上 
层 提供 一 条 无 差错 的 信道 。TC 也 完成 加 /解密 功能 。 

(5) 数据 流 控制 层 (DFC)。 这 一 层 根 据 用 户 的 请 求 和 响应 对 会 话 方式 和 会 话 过 程 进 行 管 
理 ， 决 定数 据 通信 的 方向 、 数 据 通信 方式 、 数 据 流 的 中 断 和 恢复 等 。 

(6) 表示 服务 层 (PS)。 这 一 层 定 义 数据 编码 和 数据 格式 ， 也 负责 资源 的 共享 和 操作 的 同 
步 ， 使 得 网 络 入 口 处 的 多 个 用 户 可 以 并 发 地 操作 。 

(7) 事务 处 理 服务 层 (TS)。 这 一 层 以 特权 程序 的 形式 为 用 户 提供 应 用 服务 。 例 如, SNA/DS 
(SNA Distribution Service) 就 是 SNA 提供 的 一 种 异步 分 布 处 理 系统 。 
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图 1-9 SNA 的 体系 结构 














随 着 微型 计算 机 局 域 网 的 广泛 使 用 ，IBM 推出 了 第 二 代 的 高 级 点 对 点 网 络 (Advanced 


Peer-to-Peer Networking，APPN)， 使 得 SNA 由 集 








天 








P 式 网 络 演变 成 点 对 点 的 网 络 环境 。 在 APPN 











网 络 环境 中 有 下 面 3 类 节点 。 





低级 入 





节点 〈Low-Entry Node，LEN)。 这 种 节点 只 能 利用 与 其 相连 的 网 络 节点 提供 








的 服务 进行 会 话 。 


端 节点 


(End Node，EN)。 这 种 节点 包含 APPN 的 部 分 功能 ， 还 具有 路 由 能 力 ， 能 够 


通过 网 络 节点 与 其 他 端 节点 建立 会 话 。 
网 络 节点 (NetworkNode,NN)。 这 种 节点 包含 APPN 的 全 部 功能 , 其 中 的 控制 点 (Control 
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了 Point，CP) 功能 管理 着 NN 的 全 部 资源 ， 能 够 建立 CP-to-CP 会 话 ， 维 护 网 络 的 拓扑 
结构 ， 并 提供 目录 服务 。 
图 1-10 展示 了 由 这 几 种 节点 组 成 的 APPN 网 络 的 拓扑 结构 。 








网 络 节点 


低级 入 口 节点 





APPN 网 络 


图 1-10 APPN 网 络 的 拓扑 结构 


1.5:2 X25 


X.25 协议 如 图 1-11 所 示 , 它 是 CCITT 在 1976 年 公布 的 公用 数据 网 (Public Data Network， 
PDN) 标准 ， 后 来 又 经 过 了 两 次 修订 。X.25 包括 了 通信 子 网 最 下 边 的 3 个 迪 辑 功能 层 ， 即 物理 
层 、 链 路 层 和 网 络 层 ， 与 SNA 下 面 的 3 层 是 对 应 的 。 

最 低层 用 X.21 作为 用 户 节点 (DTE) 和 通信 子 网 之 间 建 立 电气 连接 的 对 等 协议 。 在 图 1-11 
中 ， 数 据 分 组 Pl 和 了 3 是 送 往 站 2 的 ， 而 分 组 P2 是 送 往 其 他 站 的 。 链 路 层 协议 使 用 HDLC 的 
全 双 工 异步 平衡 方式 进行 通信 ， 管 理 分 组 序列 的 无 差错 传输 。 

虚 电路 连接 (VC) 的 建立 和 释放 既 关 系 到 端 对 端的 功能 特性 ， 也 关系 到 端 节点 对 网 络 的 
功能 特性 。 例 如 ， 建 立 VC 时 ， 一 端的 用 户 必须 知道 另 一 端 用 户 的 地 址 ， 这 显然 是 端 对 端的 功 
能 特性 。 然 而 ，VC 建立 后 的 寻 址 功能 是 针对 网 络 中 的 每 一 个 交换 节点 的 ， 而 不 是 在 两 端 节点 
中 寻 址 。 
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图 1-11 X.25 的 分 层 协议 和 虚 电 路 


1.5.3 Novell NetWare 


Novell 公司 的 NetWare 3.11 在 20 世纪 80 年 代 曾 非常 流行 ， 后 来 随 着 Intermet 的 兴起 和 
Windows NT 的 出 现 而 衰落 了 。 但 是 它 并 没有 完全 退出 市 场 ,2003 年 ,Novell 公司 推出 了 NetWare 6.5， 
全 面 支持 “开放 源 代码 ”和 一 系列 新 技术 。NetWare 6.5 的 优点 是 具有 安全 可 靠 性 而 且 管 理 成 本 
低 ， 随 着 新 版 本 的 推出 ，Novell 公司 可 能 会 重新 夺回 一 部 分 失去 的 市 场 份额 。 

目前 市 场 上 流行 的 版 本 是 NetWare 4.2， 这 个 系统 的 体系 结构 如 图 1-12 所 示 。Novell 公司 
的 专用 通信 协议 是 IPX/SPX。IPX (Internet Protocol Exchange) 是 Novell 公司 按照 Xerox 公司 
的 IDP 协议 (Internet Datagram Protocol) 实现 的 网 络 层 协 议 ， 提 供 无 连接 的 数据 报 服务 ， 用 于 
在 工作 站 和 服务 器 之 间 传 送 数据 。SPX (Sequential Packet Exchange) 是 Novell 公司 的 传输 层 协 
议 ， 在 分 布 式 应 用 之 间 提 供 顺序 提交 服务 。 另 外 ，NetWare 也 支持 TCP/IP 协议 和 Windows 协 
议 ， 可 以 和 Internet 直接 相连 。 

同时 ， 还 需要 其 他 协议 的 配合 ， 网 络 层 才能 完成 传送 数据 报 的 任务 。RIPX 是 Novell 公司 
的 路 由 信息 协议 ， 用 于 在 网 关 之 间 收集 和 交换 路 由 信息 。BCAST (Broadcast) 是 广播 协议 ， 用 
于 向 用 户 广播 消息 。DIAG (Diagnostic) 是 诊断 协议 ， 在 局 域 网 中 用 于 连接 测试 和 配置 信息 的 
收集 。WDOG (Watchdog) 协议 监视 工作 站 的 活动 ， 当 连接 断 开 时 向 服务 器 发 出 通知 。 

NetWare 中 有 两 个 会 话 层 协 议 。 服 务 公告 协议 把 网 络 中 所 有 服务 器 的 信息 发 送 给 客户 端 ， 
这 样 客户 端 才能 向 特定 的 服务 器 发 送 消息 。 通 常 网 络 中 有 多 种 服务 器 ， 包 括 文件 服务 器 、 打 印 
服务 器 、 访 问 服务 器 和 远程 控制 服务 器 等 。 另 外 ，Novell 还 重新 实现 了 NetBIOS， 作 为 会 话 层 
编程 平台 。 





国 2 荐 。 网 络 工 程 岳 教程 (第 5 版) 





Applicati 
pplication 














Presentation 




















Session 








Transport SPX 














Network ( 3 2 )( 2 ) 于 )I(C_RIPX ) 
| IPX 】 
| 本 























Data Link 














Physical 





图 1-12 NetWare 的 体系 结构 


NetWare 核心 协议 (NetWare Core Protocol，NCP) 管理 服务 器 资源 ， 它 向 服务 器 发 出 过 程 
调用 来 使 用 文件 和 打印 资源 。 突 发 模式 协议 (BurstModeProtocol，BMP) 是 为 提高 文件 传输 的 
效率 而 设计 的 。 用 突 发 模式 通信 , 允许 对 一 个 请 求 发 回 多 个 响应 包 。NetWare 目录 服务 (NetWare 
Directory Services，NDS) 是 一 个 分 布 式 网 络 数据 库 。 在 基于 NDS 的 网 络 中 ， 仅 需 一 次 登录 就 
可 以 访问 所 有 的 服务 器 ， 而 以 前 基于 装订 库 (Bindery) 的 网 络 则 需要 在 不 同 的 服务 器 之 间 不 断 
切换 。 


1.6 OSI 协议 集 


国际 标准 化 组 织 除 定义 了 OSI 参考 模型 之 外 , 还 开发 了 实现 7 个 功能 层次 的 各 种 协议 和 服 
务 标准 ， 这 些 协议 和 服务 统称 为 “OSI 协议 ”OSI 协议 是 一 些 已 有 的 协议 和 ISO 新 开发 的 协议 
的 混合 体 ， 例 如 ， 大 部 分 物理 层 和 数据 链 路 层 协议 是 采用 了 现 有 的 协议 ， 而 数据 链 路 层 以 上 的 
协议 是 ISO 自行 起 草 的 。 产生 OSI 协议 的 目的 是 提出 能 满足 所 有 组 网 需求 的 国际 标准 ， 但 是 到 
目前 为 止 ， 实 现 情况 离 这 一 目标 还 很 遥远 。 

虽然 OSI 协议 集 的 实现 缺乏 商业 动力 , 但 是 OSURM 作为 网 络 系统 的 知识 框架 ， 对 于 学 习 
和 理解 网 络 标准 还 是 有 用 的 。 全 国 计 算 机 与 信息 处 理 标准 化 技术 委员 会 开放 系统 互 连 分 技术 委 
员 会 负责 把 ISO/TC95/SC21 标准 采纳 为 国家 标准 ， 它 制定 的 “开放 系统 互 连 一 基本 参考 模型 ” 
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与 ISO OSURM 相同 。 

和 其 他 的 协议 集 一 样 ，OSI 协议 是 实现 某 些 功能 的 过 程 的 描述 和 说 明 。 每 一 个 OSI 协议 都 
详细 地 规定 了 特定 层次 的 功能 特性 。OSI 协议 集 如 图 1-13 所 示 。 下 面 分 别 说 明 对 应 OSI 参考 模 
型 7 个 功能 层次 的 各 种 协议 。 












































应 用 层 vr [psTrma| cumcvs | ws | 
一 ACSE.RTSE.ROSE.CCR | ASN1 

当下 民 OSI 表示 层 协 议 | 
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物理 层 8023 802.4 802.5 RS-232 RS-449 X.21 

FDDI V35 ISDN 

















图 1-13 OSI 协议 集 
1. 物理 层 协议 


在 物理 层 ，OSI 采 用 了 各 种 现成 的 协议 ， 其 中 有 RS-232、RS-449、X.21、V35、ISDN， 以 
及 FDDI、IEEE 802.3、IEEE 802.4 和 IEEE 802.5 的 物理 层 协议 ,将 在 后 面 的 有 关 章 节 介 绍 这 些 
协议 。 


2. 数据 链 路 层 协 议 


在 数据 链 路 层 ，OSI 的 协议 集 也 是 采用 了 当前 流行 的 协议 ， 其 中 包括 HDLC、LAP-B 以 及 
IEEE 802 的 数据 链 路 层 协议 ISO 8802)。 数 据 链 路 层 协议 和 服务 与 具体 的 物理 传输 技术 有 关 。 
虽然 上 面 的 功能 层 一 般 是 每 层 对 应 一 个 协议 ， 而 在 数据 链 路 层 却 不 是 这 样 ， 为 了 有 效 地 利用 各 
种 传输 技术 ， 数 据 链 路 层 用 不 同 的 协议 满足 不 同 的 技术 要 求 。 


3. 网 络 层 协议 


网 络 层 提 供 两 种 服务 ， 即 面向 连接 的 服务 和 无 连接 的 服务 。ISO 8348 文件 定义 了 面向 连接 
的 服务 (CONS), 与 此 对 应 的 协议 是 CCITT X.213, 这 两 个 文件 的 规定 与 X.25 分 组 级 协议 (PLP) 
一 致 。ISO 8473 文件 定义 了 无 连接 的 网 络 服务 CLNS。 在 OSI 参考 模型 中 ， 各 个 层次 除了 服务 
定义 文件 外 ， 还 有 定义 该 功能 的 协议 规范 文件 ， 但 是 在 网 络 层 没有 相应 的 协议 规范 文件 。 原 因 
是 通信 网 络 一 般 是 由 PIT (Post Telephone &Telegraph) 提供 的 ， 网 络 的 提供 者 或 者 按照 其 原 
有 的 规定 建 网 ， 或 者 按照 CCITT 的 建议 提供 服务 ， 因 而 对 网 络 功能 的 标准 化 并 不 感 兴趣 。 
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ISO 8878 文件 (或 X223) 类 似 于 网 络 层 的 协议 规范 ， 它 规定 了 从 X.213 服务 原 语 到 X.25 
分 组 协议 的 映像 关系 。 按 照 这 个 映像 ， 每 一 个 X.213 原 语 对 应 一 个 或 两 个 义 .25 PLP 功能 。 实 现 
两 种 网 络 服务 的 基础 网 络 是 多 种 多 样 的 ， 对 于 有 些 网 络 来 说 ， 必 须 增 加 软件 功能 ， 提 供 附 加 的 
功能 ， 才 能 转向 OSI 的 标准 形式 。 例 如 ， 非 X.25 网 络 可 能 没有 分 组 排序 功能 ， 当 这 种 网 络 要 
转向 X.213 服务 时 必须 增加 软件 排序 功能 。 因 而 OSI 网 络 层 又 分 成 了 3 个 子 层 , ISO 8648 文件 
描述 了 网 络 层 内 部 的 组 织 ， 给 出 了 3 个 子 层 的 协议 。 最 上 面 的 子 层 完成 与 子 网 无 关 的 会 聚 功能 
(SNIC)， 相 当 于 网 际 协 议 ; 中 间 一 个 子 层 实现 与 子 网 相关 的 会 聚 功能 (SNDC)， 它 的 作用 是 把 
一 个 具体 的 网 络 服务 改造 得 适合 于 网 络 子 层 的 需要 ; 最 下 面 的 子 层 利用 数据 链 路 服务 ， 实 现 子 
网 访问 功能 CSNAC)。3 个 子 层 是 任 选 的 ， 对 于 不 同 的 基础 网 络 ， 可 以 选用 或 完全 不 用 3 个 子 
层 协议 。 

另外 ， 关 于 网 络 互 连 ，ISO 9542 描述 了 端 系统 和 中 间 系 统 (ES-IS) 之 间 的 通信 协议 ，ISO 
10589 描述 了 中 间 系 统 与 中 间 系 统 (IS-IS) 之 间 的 通信 协议 。 这 两 个 文件 是 ISO 8473 的 补充 。 


4. 传输 层 协 议 


传输 层 和 网 络 层 之 间 的 界面 是 用 户 和 通信 子 网 的 界面 。 传 输 层 的 任务 是 在 子 网 服务 的 基础 
上 提供 完整 的 数据 传送 ， 因 而 在 原来 的 OSI 协议 集中 ， 传 输 层 的 功能 是 提供 面向 连接 的 服务 
无 连接 的 服务 是 后 来 增加 的 。OSI 传输 服务 定义 文件 是 ISO 8072， 传 输 层 协议 规范 文件 是 ISO 
8073〈 连 接 模式 ) 和 ISO 8602 (无 连接 模式 )。 

无 连接 传输 远 没有 面向 连接 的 传输 应 用 得 广泛 。 由 于 各 种 通信 子 网 在 服务 模式 、 残 留 错误 
率 以 及 是 否 发 生 网 络 复位 等 方面 有 很 大 差别 ， 所 以 要 实现 面向 连接 的 传输 服务 ， 对 不 同 的 子 网 
所 需 完成 的 传输 功能 也 不 同 。 因 而 ， 面 向 连接 的 传输 协议 分 为 5 类 ， 即 TP0、TP1、TP2、TP3 
和 TP4。 这 5 类 传输 协议 在 不 同 的 通信 子 网 服务 的 基础 上 都 能 提供 完整 的 数据 传送 ， 组 网 时 可 
根据 子 网 的 情况 选用 。 


S. 会 话 层 协议 


通常 把 第 5 层 以 上 的 各 层 协议 叫 作 高 层 协议 ， 这 些 协 议 都 是 ISO 制定 的 ， 目 的 是 为 应 用 程 
序 提供 各 种 不 同 的 服务 。OSI 高 层 协议 一 般 都 有 对 应 的 CCITT 建议 。 会 话 层 在 传输 层 提供 的 完 
整 的 数据 传送 平台 上 提供 应 用 进程 之 间 组 织 和 构造 交互 作用 的 机 制 ， 这 种 机 制 表 现在 会 话 层 服 
务 定义 文件 ISO 8326 (CCITT X.215) 和 协议 规范 文件 ISO 8327 (CCITTX.225) 中 。 

OSI 会 话 层 协议 是 在 ECMA (European Computer Manufacturers Association) 提供 的 会 话 协 
议和 CCITT 的 工 62 (Teletex) 建议 的 基础 上 制定 的 ， 它 既 包含 了 面向 计算 机 应 用 的 功能 ， 也 包 
含 了 与 智能 用 户 电报 〈Teletex) 兼容 的 功能 。 这 个 协议 集 像 个 大 工具 箱 ， 每 种 工具 叫 作 一 个 功 
能 单元 。 在 一 次 会 话 中 要 使 用 哪些 功能 单元 ， 在 建立 会 话 连接 时 要 进行 协商 。 由 于 有 些 功能 单 
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元 可 直接 作用 于 应 用 程序 ， 因 而 使 人 们 怀疑 是 否 有 必要 保留 会 话 层 。 不 过 会 话 层 协议 毕竟 作为 
标准 公布 了 ， 组 网 中 是 否 实现 会 话 层 可 由 用 户 决定 。 


6. 表示 层 协 议 


表示 层 协议 也 是 OSI 制定 的 , 但 它 出 现 得 很 晚 ， 以 至 于 在 早期 的 OSI 实现 中 完全 没有 这 一 
层 。 表 示 层 原来 的 用 途 是 规定 用 户 信息 的 表现 方式 ， 例 如 与 显示 屏幕 有 关 的 字符 集 、 行 的 长 度 
和 行 结束 符 等 。 后 来 把 这 些 与 终端 和 文件 传输 有 关 的 功能 划分 到 了 应 用 层 ， 所 以 表示 层 的 功能 
就 只 剩 下 了 关于 数据 表示 的 约定 。 

各 种 计算 机 内 部 的 数据 表示 可 能 不 同 ， 例如， 整数 可 能 是 1 的 补 码 或 者 是 2 的 补 码 ， 浮 点 
数 的 格式 可 能 不 同 ， 字 节 的 顺序 可 能 不 一 样 〈 高 位 字 节 在 前 ， 或 低位 字 节 在 前 ) 等 ， 这 些 方面 
的 差别 在 网 络 传输 时 需要 统一 .OSI 处 理 这 个 问题 的 方法 类 似 于 在 程序 设计 语言 (例如 PASCAL 
或 C) 中 用 基本 数据 类 型 构造 复杂 数据 结构 的 方法 ， 其 主要 思想 是 用 一 种 抽象 语法 表示 用 户 的 
数据 。 应 用 层 的 协议 数据 单元 (APDU) 向 下 送 到 表示 层 时 ， 表 示 层 用 抽象 语法 表示 它 的 结构 ， 
传送 到 对 方 表示 层 时 , 也 应 用 同样 的 抽象 语法 解释 它 。OSI 的 第 一 个 抽象 语法 是 ASN.1(Abstract 
Syntax Notation 1)， 它 记录 在 ISO 8824 (CCITT X.208) 文件 中 。 文件 ISO 8825 (CCITT X.209) 
描述 了 一 种 具体 的 编码 规则 , 叫 作 传送 语法 ,OSI 表示 层 服务 定义 文件 是 ISO 8822(CCITT X.216)， 
协议 规范 文件 是 ISO 8823 (CCITT X.226)。 表示 层 过 程 用 于 建立 连接 、 控制 数据 的 发 送 和 同步 。 
它 只 是 个 很 简单 的 相 邻 层 之 间 的 “过 路 ”协议 。 


7. 应 用 层 协议 


应 用 层 是 OSI 的 最 高 层 ， 这 一 层 的 协议 都 与 应 用 进程 间 的 通信 有 关 。 现 在 ， 针 对 各 种 应 用 
已 经 定义 了 大 量 的 协议 ， 还 有 很 多 应 用 协议 正在 制定 之 中 。 

分 布 式 应 用 是 多 种 多 样 的 ， 所 以 OSI 提出 了 应 用 服务 元 素 (Application Service Element, 
ASE) 的 概念 。ASE 是 建立 应 用 程序 和 通信 网 络 联系 的 构件 ， 这 些 构件 对 大 部 分 应 用 程序 是 通 
用 的 。 最 主要 的 ASE 有 4 种 , 即 联系 控制 服务 元 素 (Association Control Service Element, ACSE )、 
可 靠 传输 服务 元 素 (Reliable Transfer Service Element，RTSE)、 远 程 操作 服务 元 素 (Remote 
Operations Service Element，ROSE) 以 及 提交 、 并 发 和 恢复 (Commitment Concurrency and 
Recovery，CCR) 服务 元 素 。 

ACSE 提供 建立 和 释放 应 用 层 连 接 的 基本 功能 。RTSE 提供 用 户 数据 的 可 靠 传输 ,“ 可 靠 ” 
是 指 系统 通信 可 以 从 骨 溃 中 恢复 。ROSE 提供 一 种 远程 过 程 调用 ， 这 种 远程 传输 可 以 在 两 个 方 
向 上 传送 大 量 数据 。CCR 提供 了 保证 分 布 式 操作 准确 、 完 整 、 恰 好 一 次 性 实现 的 机 制 。 定 义 这 
4 种 应 用 服务 元 素 的 ISO 和 CCITT 文件 如 表 1-2 所 示 。 
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表 1-2 应 用 服务 元 素 标准 
服务 定义 
ISO 8649 ACSE CCITTX.217 
ISO 9066RTSE CCITTX.218 
ISO 9072-1 ROSE CCITTX.219 
ISO 9804 CCR CCITTX.237 


ISO 8650 CCITT X.227 
ISO 9066-2 CCITT X.228 
ISO 9072-2 CCITT X.229 
ISO 9805 CCITTX.247 














已 经 定义 的 OSI 应 用 层 协议 主要 有 5 种 ， 其 中 ，OSI 的 电子 邮件 标准 (ISO 10021) 叫 作 
MOTIS (Message-Oriented Text Interchange System)， 它 是 根据 CCITT 的 X.400 建议 制定 的 ; 
OSI 的 文件 传输 协议 (ISO 8571 和 ISO 8572) 叫 作 FTAM(File Transfer Access and Management)， 
这 是 一 个 适用 于 各 种 文件 类 型 〈 包 括 远程 数据 库 文 件 访问 ) 的 功能 很 强 的 文件 访问 协议 ;OSI 
的 目录 服务 (Directory Service，DS) 协议 〈ISO 9594) 来 源 于 CCITTR X.500 系列 建议 ， 提 供 
分 布 式 数据 库 功 能 ，OSI 的 虚拟 终端 (Virtual Terminal，VT) 协议 〈ISO 9040 和 ISO 9041) 定 
义 了 表示 实际 终端 抽象 状态 的 数据 结构 , 用 于 解决 各 种 终端 不 兼容 的 问题 ; 关于 网 络 管理 , OSI 
制定 了 公共 管理 信息 协议 (Common Management Information Protocol，CMIP) 和 公共 管理 信息 
服务 Common Management Information Service，CMIS)，CMIP/CMIS 建立 在 一 个 大 的 管理 信 
息 数据 库 上 ， 对 网 络 中 的 资源 、 交 通 和 安全 等 进行 管理 ， 它 们 包含 在 ISO 9595 和 ISO 9596 两 
个 文件 中 。 
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计算 机 网 络 采用 数据 通信 方式 传输 数据 。 数 据 通信 和 电话 网 络 中 的 语音 通信 不 同 ， 也 和 无 
线 电 广播 通信 不 同 ， 它 有 其 自身 的 规律 和 特点 。 数 据 通信 技术 的 发 展 与 计算 机 技术 的 发 展 密切 
相关 ， 又 互相 影响 ， 形 成 了 一 门 独立 的 学 科 。 这 门 学 科 主 要 研究 对 计算 机 中 的 三 进 制 数据 进行 
传输 、 交 换 和 处 理 的 理论 、 方 法 以 及 实现 技术 。 本 章 讲述 数据 通信 的 基本 理论 和 基础 知识 ， 为 
学 习 以 后 各 章 内 容 做 好 准备 。 


2.1 数据 通信 的 基本 概念 


通信 的 目的 就 是 传递 信息 。 通 信 中 产生 和 发 送信 息 的 一 端 叫 作 信 源 ， 接 收 信息 的 一 端 叫 作 
信 宿 , 信 源 和 信 宿 之 间 的 通信 线路 称 为 信道 。 信 息 在 进入 信道 时 要 变换 为 适合 信道 传输 的 形式 ， 
在 进入 信 宿 时 又 要 变换 为 适合 信 宿 接收 的 形式 。 信 道 的 物理 性 质 不 同 ， 对 通信 的 速率 和 传输 质 
量 的 影响 也 不 同 。 另 外 ， 信 息 在 传输 过 程 中 可 能 会 受到 外 界 的 干扰 ， 把 这 种 干扰 称 为 噪声 。 不 
同 的 物理 信道 受 各 种 干扰 的 影响 不 同 ， 例 如 ， 如 果 信 道上 传输 的 是 电信 号 ， 就 会 受到 外 界 电磁 
场 的 干扰 ， 光 纤 信 道 则 基本 不 受 电 磁场 干扰 。 以 上 描述 的 通信 模式 忽略 了 具体 通信 中 的 物理 过 
程 和 技术 细节 ， 得 到 如 图 2-! 所 示 的 通信 系统 模型 。 


信 源 | 雪 | 一 信道 | 一 变换 信 宿 


图 2-1 通信 系统 模型 














作为 一 般 的 通信 系统 ， 信 源 产生 的 信息 可 能 是 模拟 数据 ， 也 可 能 是 数字 数据 。 模 拟 数据 取 
连续 值 ， 而 数字 数据 取 离 散 值 。 在 数据 进入 信道 之 前 要 变 成 适合 传输 的 电磁 信号 ， 这 些 信号 也 
可 以 是 模拟 的 或 数字 的 。 模 拟 信号 是 随时 间 连 续 变化 的 信号 ， 这 种 信号 的 某 种 参量 〈 如 幅度 、 
相位 和 频率 等 ) 可 以 表示 要 传送 的 信息 。 电 话机 送 话 器 输出 的 话音 信号 、 电 视 摄 像 机 产生 的 图 
像 信号 等 都 是 模拟 信号 。 数字 信号 只 取 有 限 个 离散 值 , 而 且 数字 信号 之 间 的 转换 几乎 是 瞬时 的 ， 
数字 信号 以 某 一 瞬间 的 状态 表示 它们 传送 的 信息 。 
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如 果 信 源 产生 的 是 模拟 数据 并 以 模拟 信道 传输 ， 则 叫 作 模拟 通信 ;如 果 信 源 发 出 的 是 模拟 
数据 且 以 数字 信号 的 形式 传输 ， 那 么 这 种 通信 方式 叫 数字 通信 。 如 果 信 源 发 出 的 是 数字 数据 ， 
当然 也 可 以 有 两 种 传输 方式 ， 这 时 无 论 是 用 模拟 信号 传输 或 是 用 数字 信号 传输 都 叫 作 数据 通 
信 。 可 见 ， 数 据 通信 是 专 指 信 源 和 信 宿 中 数据 的 形式 是 数字 的 ， 在 信道 中 传输 时 可 以 根据 需要 
采用 模拟 传输 方式 或 数字 传输 方式 。 

在 模拟 传输 方式 中 ， 数 据 进入 信道 之 前 要 经 过 调制 ， 变 换 为 模拟 的 调制 信号 。 由 于 调制 信 
号 的 频谱 较 罕 ,因此 信道 的 利用 率 较 高 。 模 拟 信 号 在 传输 过 程 中 会 衰减 , 还 会 受到 噪声 的 干扰 ， 
如 果 用 放大 器 将 信号 放大 , 混入 的 噪声 也 被 放大 了 , 这 是 模拟 传输 的 缺点 。 在 数字 传输 方式 中 ， 
可 以 直接 传输 二 进 制 数据 或 经 过 二 进 制 编码 的 数据 ， 也 可 以 传输 数字 化 了 的 模拟 信号 。 因 为 数 
字 信 号 只 取 有 限 个 离散 值 ， 在 传输 过 程 中 即使 受到 噪声 的 干扰 ， 只 要 没有 畸变 到 不 可 辨认 的 程 
度 ， 就 可 以 用 信号 再 生 的 方法 进行 恢复 ， 对 某 些 数码 的 差错 也 可 以 用 差错 控制 技术 加 以 消除 。 
所 以 ， 数 字 传 输 对 于 信号 不 失真 地 传送 是 非常 有 好 处 的 。 另 外 ， 数 字 设 备 可 以 大 规模 集成 ， 比 
复杂 的 模拟 设备 便宜 得 多 。 然 而 ， 传 输 数 字 信 号 比 传输 模拟 信号 所 要 求 的 频带 要 宽 得 多 ， 因 而 
信道 利用 率 较 低 。 


2.2 ”信道 特性 





2.2.1 信道 带宽 
模拟 信道 的 带宽 如 图 2-2 所 示 。 信 道 带宽 了 户 矿 ， 其 中 , 万 是 信道 能 通过 的 最 低频 率 ， 万 
是 信道 能 通过 的 最 高 频率 ， 两 者 都 是 由 信道 的 物理 特性 决定 的 。 当 组 成 信道 的 电路 制 成 了 ， 信 
道 的 带宽 就 决定 了 。 为 了 使 信号 传输 中 的 失真 小 一 些 ， 信 道 要 有 足够 的 带宽 。 
信号 
下 


=/f/Hz 





图 2-2 模拟 信道 的 带宽 
数字 信道 是 一 种 离散 信道 ， 它 只 能 传送 取 离 散 值 的 数字 信和 号。 信道 的 带宽 决定 了 信道 中 能 
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不 失真 地 传输 的 脉冲 序列 的 最 高 速率 。 一 个 数字 脉冲 称 为 一 个 码 元 ， 用 码 元 速率 表示 单位 时 间 
内 信号 波形 的 变换 次 数 ， 即 单位 时 间 内 通过 信道 传输 的 码 元 个 数 。 若 信号 码 元 宽度 为 了 秒 ， 则 
码 元 速率 B-1/7。 码 元 速率 的 单位 叫 波 特 (Baud)， 所 以 码 元 速率 也 叫 波 特 率 。 早 在 1924 年 ， 
贝尔 实验 室 的 研究 员 享 利 。 奈 奎 斯 特 (Harry Nyquist) 就 推导 出 了 有 限 带宽 无 噪声 信道 的 极限 
波 特 率 ， 称 为 尼 硅 斯 特定 理 。 若 信道 带宽 为 责 则 尼 硅 斯 特定 理 指出 最 大 码 元 速率 为 
B=2W (Baud) 

奈奈 斯 特定 理 指 定 的 信道 容量 也 叫 作 奈奈 斯 特 极限 ， 这 是 由 信道 的 物理 特性 决定 的 。 超 过 
奈奈 斯 特 极限 传送 脉冲 信号 是 不 可 能 的 ， 所 以 要 进一步 提高 波 特 率 必须 改善 信道 带宽 。 

码 元 携带 的 信息 量 由 码 元 取 的 离散 值 的 个 数 决定 。 若 码 元 取 两 个 离散 值 ， 则 一 个 码 元 携带 
1 位 信息 。 若 码 元 可 取 4 种 离散 值 ， 则 一 个 码 元 携带 两 位 信息 。 总 之 ， 一 个 码 元 携带 的 信息 量 
1《 位 ) 与 码 元 的 种 类 数 W 有 如 下 关系 

1=log2V (N=2") 

单位 时 间 内 在 信道 上 传送 的 信息 量 〈 位 数 ) 称 为 数据 速率 。 在 一 定 的 波 特 率 下 提高 速率 的 
途径 是 用 一 个 码 元 表示 更 多 的 位 数 。 如 果 把 两 位 编码 为 一 个 码 元 ， 则 数据 速率 可 成 倍 提高 。 有 
公式 

R=B logyN=2W logsN (bps) 

其 中 ，R 表示 数据 速率 ， 单 位 是 每 秒 位 bps 或 b/s)。 

数据 速率 和 波 特 率 是 两 个 不 同 的 概念 。 仅 当 码 元 取 两 个 离散 值 时 两 者 的 数值 才 相 等 。 对 于 
普通 电话 线路 ， 带 宽 为 3000Hz， 最 高 波 特 率 为 6000Baud， 最 高 数据 速率 可 随 着 调制 方式 的 不 
同 而 取 不 同 的 值 。 这些 都 是 在 无 噪声 的 理想 情况 下 的 极限 值 。 实际 信道 会 受到 各 种 噪声 的 干扰 ， 
因而 远 远 达 不 到 按 奈奈 斯 特定 理 计算 出 的 数据 传送 速率 。 香 农 〈Shannon) 的 研究 表明 ， 有 了 品 
声 信道 的 极限 数据 速率 可 由 下 面 的 公式 计算 


Ss 
C=WI ( 弓 ] 
og, 


这 个 公式 叫 作 香农 定理 ， 其 中 ， 刺 为 信道 带宽 ，S$ 为 信号 的 平均 功率 ，N 为 噪声 平均 功率 ， 
SN 叫 作 信 品 比 。 由 于 在 实际 使 用 中 5 与 的 比值 太 大 ， 故 常 取 其 分 贝 数 〈dB)。 分 贝 与 信 品 
比 的 关系 为 





Ss 
dB=10logio I 


例如 ， 当 S/N=1000 时 ， 信 噪 比 为 304B。 这 个 公式 与 信号 取 的 离散 值 的 个 数 无 关 ， 也 就 是 
说 ， 无 论 用 什么 方式 调制 ， 只 要 给 定 了 信 噪 比 ， 则 单位 时 间 内 最 大 的 信息 传输 量 就 确定 了 。 例 
如 ， 信 道 带 宽 为 3000Hz， 信 品 比 为 304B， 则 最 大 数据 速率 为 
C=3000logs(1+1000)~3000X 9.97~~30 000bps 
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这 是 极限 值 , 只 有 理论 上 的 意义 。 实际 上 , 在 3000Hz 带宽 的 电话 线 上 数据 速率 能 达到 9600bps 
就 很 不 错 了 。 

综 上 所 述 ， 有 两 种 带宽 的 概念 ， 在 模拟 信道 ， 带 宽 按 照 公 式 5p- 天 计算 ,例如 CATV 电 
缆 的 带宽 为 600MHz 或 1000MHz; 数字 信道 的 带宽 为 信道 能 够 达到 的 最 大 数据 速率 , 例如 以 太 
网 的 带宽 为 10Mbps 或 100Mbps。 两 者 可 互相 转换 。 


2.2.2 误 码 率 


在 有 噪声 的 信道 中 ,数据 速率 的 增加 意味 着 传输 中 出 现 差错 的 概率 增加 。 用 误 码 率 来 表示 
传输 二 进 制 位 时 出 现 差错 的 概率 。 误 码 率 可 用 下 式 表示 
Pp = 六 (出 错 的 位 数 ) 
“ NM( 传 送 的 总 位 数 ) 
在 计算 机 通信 网 络 中 ， 误 码 率 一 般 要 求 低 于 104“， 即 平均 每 传送 1 兆 位 才 人 允许 错 1 位 。 在 
误 码 率 低 于 一 定 的 数值 时 ， 可 以 用 差错 控制 的 办 法 进行 检查 和 纠正 。 


2.2.3 ”信道 延迟 


信号 在 信道 中 传播 , 从 源 端 到 达 宿 端 需 要 一 定 的 时 间 。 这 个 时 间 与 源 端 和 宿 端 的 距离 有 关 ， 
也 与 具体 信道 中 的 信号 传播 速度 有 关 。 以 后 考虑 的 信号 主要 是 电信 号 ， 这 种 信号 一 般 以 接近 光 
速 的 速度 (300myhs) 传播 ， 但 随 传输 介质 的 不 同 而 略 有 差别 。 例 如 ， 在 电费 中 的 传播 速度 一 
般 为 光速 的 77%， 即 200myhs 左右 。 

一 般 来 说 ， 考 虑 信号 从 源 端 到 达 宿 端的 时 间 是 没有 意义 的 ， 但 对 于 一 种 具体 的 网 络 ， 我 们 
经 常 对 该 网 络 中 相距 最 远 的 两 个 站 之 间 的 传播 时 延 感 兴趣 。 这 时 除了 要 计算 信号 传播 速度 外 ， 
还 要 知道 网 络 通信 线路 的 最 大 长 度 。 例 如 ，500m 同 轴 电 缆 的 时 延 大 约 是 2.5Shs， 而 卫星 信道 的 
时 延 大 约 是 270ms。 时 延 的 大 小 对 某 些 网 络 应 用 (例如 交互 式 应 用 ) 有 很 大 影响 。 


2.3 ”传输 介质 

计算 机 网 络 中 可 以 使 用 各 种 传输 介质 来 组 成 物理 信道 。 这 些 传输 介质 的 特性 不 同 ， 因 而 合 
用 的 网 络 技术 不 同 ， 应 用 的 场合 也 不 同 。 下 面 简要 介绍 各 种 常用 的 传输 介质 的 特点 。 
2.3.1 双 绞 线 


双 绞 线 由 粗 约 lmm 的 互相 绝缘 的 一 对 铜 导 线 绞 扭 在 一 起 组 成 ， 对 称 均匀 地 绞 扭 可 以 减少 
线 对 之 间 的 电磁 干扰 。 这 种 双 绞 线 大 量 使 用 在 传统 的 电话 系统 中 ， 适 用 于 短 距离 传输 ， 若 超过 
儿 千 米 , 就 要 加 入 中 继 器 。 在 局 域 网 中 可 以 使 用 双 绞 线 作 为 传输 介质 ， 如果 选 用 高 质量 的 芯 线 ， 
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采用 适当 的 驱动 和 接收 技术 ， 安 装 时 避 开 噪声 源 ， 在 几 百 米 之 内 数据 的 传输 速率 可 达 每 秒 几 十 
兆 位 。 

双 绞 线 分 为 屏蔽 双 绞 线 和 无 屏蔽 双 绞 线 , 如 图 2-3 所 示 。 常用 的 无 屏蔽 双 绞 线 电线 (Unshielded 
Twisted Pair，UTP) 由 不 同 颜色 的 〈 橙 、 绿 、 蓝 、 棕 ) 4 对 双 绞 线 组 成 。 屏 蔽 双 绞 线 (Shielded 
Twisted Pair，STP) 电缆 的 外 层 由 铝 稍 包 右 着 ， 价 格 相对 高 一 些 ， 并 且 需 要 支持 屏蔽 功能 的 特 
殊 连 接 器 和 适当 的 安装 技术 , 但 是 传输 速率 比 相应 的 无 屏蔽 双 绞 线 高 。 国际 电气 工业 协会 (EIA) 

定义 了 双 绞 线 电缆 各 种 不 同 的 型 号 ， 计 算 机 综合 布线 使 用 的 双 绞 线 种 类 如 表 2-1 所 示 。 


无 屏蔽 双 绞 线 UTP 屏蔽 双 绞 线 STP 
me (WE 一 
NK NNES= 
NOAA 
聚 氛 乙烯 套 层 绝缘 层 铜 线 聚 毛 乙 炳 套 层 屏蔽 层 。 绝缘 层 铜 线 


图 2-3 无 屏蔽 双 绞 线 和 屏蔽 双 绞 线 


表 2-1 计算 机 综合 布线 使 用 的 双 绞 线 
双 绞 线 种 类 
屏蔽 双 绞 线 


无 屏蔽 双 绞 线 








由 于 双 绞 线 价格 便宜 ， 安 装 容易 ， 适 用 于 结构 化 综合 布线 ， 所 以 得 到 了 广泛 使 用 。 通 常 在 
局 域 网 中 使 用 的 无 屏蔽 双 绞 线 的 传送 速率 是 10Mbps 或 100Mbps， 随 着 网 卡 技术 的 发 展 ， 短 距离 
甚至 可 以 达到 1000Mbps。 


2.3.2 ” 同 轴 电 绕 


同 轴 电 线 的 芯 线 为 铜 质 导 线 ， 外 包 一 层 绝缘 材料 ， 再 外 面 是 由 细 铜 丝 组 成 的 网 状 外 导体 ， 
最 外 面 加 一 层 绝缘 塑料 保护 层 ， 如 图 2-4 所 示 。 芯 线 与 网 状 导体 同 轴 ， 故 名 同 轴 电 缆 。 同 轴 电 
缆 的 这 种 结构 ， 使 它 具有 高 带宽 和 极 好 的 噪声 抑制 特性 。 
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绝缘 保护 层 屏蔽 层 外 导体 绝缘 层 





图 2-4 同 轴 电 费 


在 局 域 网 中 常用 的 同 轴 电 缆 有 两 种 ,一 种 是 特性 阻抗 为 50Q 的 同 轴 电 缆 , 用 于 传输 数字 信 
号 ， 例 如 RG-8 或 RG-11 粗 绕 和 RG-58 细 缆 。 粗 同 轴 电 线 适 用 于 大 型 局 域 网 , 它 的 传输 距离 长 ， 
可 靠 性 高 ， 安 装 时 不 需要 切断 电缆 ， 用 夹板 装置 夹 在 计算 机 需要 连接 的 位 置 。 但 粗 缆 必 须 安装 
外 收发 器 ， 安 装 难度 大 ， 总 体 造 价 高 。 细 缆 则 容易 安装 ， 造 价 低 ， 但 安装 时 要 切断 电缆 ， 装 上 
BNC 接头 , 然后 连接 在 T 型 连接 器 两 端 ， 所 以 容易 产生 接触 不 良 或 接头 短路 的 隐患 ， 这 是 以 太 
网 运行 中 常见 的 故障 。 

通常 把 表示 数字 信号 的 方 波 所 固有 的 频带 称 为 基带 ， 所 以 这 种 电缆 也 叫 基带 同 轴 电 缆 ， 直 
接 传输 方 波 信号 称 为 基带 传输 。 由 于 计算 机 产生 的 数字 信号 不 适合 长 距离 传输 ， 所 以 在 信号 进 
入 信道 前 要 经 过 编码 器 进行 编码 ， 变 成 适合 于 传输 的 电磁 代码 。 经 过 编码 的 数字 信号 到 达 接 收 
端 ， 再 经 译 码 器 恢复 为 原来 的 二 进 制 数字 数据 。 基 带 系统 的 优点 是 安装 简单 而 且 价格 便宜 ， 但 
由 于 在 传输 过 程 中 基带 信号 容易 发 生 畸 变 和 衰减 ， 所 以 传输 距离 不 能 太 长 。 一 般 在 1 km 以 内 ， 
典型 的 数据 速率 是 10Mbps 或 100Mbps。 

常用 的 另 一 种 同 轴 电 绕 是 特性 阻抗 为 75 的 CATV 电缆 (RG-59)， 用 于 传输 模拟 信号 
这 种 电线 也 叫 宽带 同 轴 电 绕 。 所 谓 宽带 ， 在 电话 行业 中 是 指 比 4 kHz 更 宽 的 频带 ， 而 这 里 是 泛 
指 模拟 传输 的 电缆 网络 。 要 把 计算 机 产生 的 比特 流 变 成 模拟 信号 在 CATV 电缆 上 传输 ， 在 发 送 
端 和 接收 端 要 分 别 加 入 调制 器 和 解 调 器 。 采 用 适当 的 调制 技术 ， 一 个 6MHz 的 视频 信道 的 数据 
速率 可 以 达到 36Mbps。 通常 采用 频 分 多 路 技术 (FDM), 把 整个 CATV 电线 的 带宽 (1000MHz) 
划分 为 多 个 独立 的 信道 ， 分 别传 输 数据 、 声 音 和 视频 信号 ， 实 现 多 种 通信 业务 。 这 种 传输 方式 
称 为 综合 传输 ， 适 合 于 在 办 公 自 动 化 环境 中 应 用 。 

宽带 系统 与 基带 系统 的 主要 区 别 是 模拟 信号 经 过 放大 器 后 只 能 单 向 传输 。 为 了 实现 网 络 节 
点 间 的 相互 连通 ， 有 时 要 把 整个 带宽 划分 为 两 个 频段 ， 分 别 在 两 个 方向 上 传送 信号 ， 这 叫 分 裂 
配置 。 有 时 用 两 根 电线 分 别 在 两 个 方向 上 传送 ， 这 叫 双 线 配置 。 虽 然 两 根 电线 比 单 根 电 绕 的 价 
格 要 贵 一 些 (大约 贵 15%)， 但 信道 容量 却 提高 1 倍 多 。 无 论 是 分 裂 配 置 还 是 双 线 配置 都 要 使 用 一 
个 叫 作 端 头 (headend) 的 设备 。 该 设备 安装 在 网 络 的 一 端 ， 它 从 一 个 频率 (或 一 根 电线 ) 接收 
所 有 站 发 出 的 信号 ， 然 后 用 另 一 个 频率 (或 电线 ) 发 送出 去 。 

宽带 系统 的 优点 是 传输 距离 远 ， 可 达 几 十 千 米 ， 而 且 可 同时 提供 多 个 信道 。 然 而 和 基带 
系统 相 比 ， 它 的 技术 更 复杂 ， 需 要 专门 的 射频 技术 人 员 安 装 和 维护 ， 宽 带 系统 的 接口 设备 也 更 


3 
外 页 。 
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2.3.3 光缆 


光缆 由 能 传送 光波 的 超 细 玻 璃 纤维 制 成 ， 外 包 一 层 比 玻璃 折射 率 低 的 材料 。 进 入 光纤 的 光 
波 在 两 种 材料 的 界面 上 形成 全 反射 ， 从 而 不 断 地 向 前 传播 ， 如 图 2-5 所 示 。 

光纤 信道 中 的 光源 可 以 是 发 光 二 极 管 (Light Emitting Diode，LED) 或 注入 式 激光 二 极 管 
(Injection Laser Diode，ILD)。 这 两 种 器 件 在 有 电流 通过 时 都 能 发 出 光 脉 冲 ， 光 脉冲 通过 光 导 纤 
维 传播 到 达 接 收 端 。 接 收 端 有 一 个 光 检 测 器 一 一 光电 二 极 管 ， 它 遇 光 时 产生 电信 号 ， 这 样 就 形 
成 了 一 个 单 向 的 光 传输 系统 , 类 似 于 单 向 传输 模拟 信号 的 宽带 系统 。 如果 采用 另外 的 互 连 方式 ， 
把 所 有 的 通信 节点 通过 光线 连接 成 一 个 环 ， 环 上 的 信号 虽然 是 单 向 传播 ， 但 任 一 节点 发 出 的 信 
息 其 他 节点 都 能 收 到 ， 从 而 也 达到 了 互相 通信 的 目的 ， 如 图 2-6 所 示 。 
铜 线 


| 光 传 播 方向 
0 ) UL 











光纤 光 接 信号 光 发 送 
收 器 二 和 加 光 发 送 器 


图 2-5 光纤 的 传输 原理 图 2-6 光纤 环 网 


光波 在 光 导 纤维 中 以 多 种 模式 传播 ,不 同 的 传播 模式 有 不 同 的 电磁 场 分 布 和 不 同 的 传播 路 
径 ， 这 样 的 光纤 叫 多 模 光 纤 〈 如 图 2-7 (a) 所 示 )。 光 波 在 光纤 中 以 什么 模式 传播 ， 这 与 芯 线 和 包 
层 的 相对 折射 率 、 芯 线 的 直径 以 及 工作 波长 有 关 。 如 果 芯 线 的 直径 小 到 光波 波长 大 小 ， 则 光纤 
就 成 为 波导 ， 光 在 其 中 无 反射 地 沿 直线 传播 ， 这 种 光纤 叫 单 模 光 纤 〈 如 图 2-7 (b) 所 示 )。 单 
模 光 纤 比 多 模 光 纤 的 价格 更 贵 。 


外 人 ~ ll 


(a) 多 模 光 纤 (b) 单 模 光 纤 
图 2-7 多 模 光纤 与 单 模 光纤 


光 导 纤维 作为 传输 介质 ， 其 优点 是 很 多 的 。 首 先是 它 具 有 很 高 的 数据 速率 、 极 宽 的 频带 、 
低 误 码 率 和 低 延 迟 。 数 据 传输 速率 可 达 1000Mbps， 甚 至 更 高 ， 而 误 码 率 比 同 轴 电 缆 可 低 两 个 数 
量 级 ， 只 有 10”。 其 次 是 光 传 输 不 受 电磁 干扰 ， 不 可 能 被 偷 听 ， 因 而 安全 和 保密 性 能 好 。 最 后 ， 光 
纤 重 量 轻 、 体 积 小 、 铺 设 容易 。 
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2.3.4 无 线 信 道 


前 面 提 到 的 由 双 绞 线 、 同 轴 电 缆 和 光纤 等 传输 介质 组 成 的 信道 可 统称 为 有 线 信道 。 这 里 要 
讲 到 的 信道 都 是 通过 空间 传播 信号 ， 称 之 为 无 线 信道 。 无 线 信道 包括 微波 、 红 外 和 短波 信道 ， 
下 面 简略 介绍 这 3 种 信道 的 特点 。 

微波 通信 系统 可 分 为 地 面 微波 系统 和 卫星 微波 系统 ， 两 者 的 功能 相似 ， 但 通信 能 力 有 很 大 
的 差别 。 地 面 微波 系统 由 视 距 范围 内 的 两 个 互相 对 准 方向 的 抛物 面 天 线 组 成 ， 长 距离 通信 则 需 
要 多 个 中 继 站 组 成 微波 中 继 链 路 。 在 计算 机 网 络 中 使 用 地 面 微波 系统 可 以 扩展 有 线 信道 的 连通 
范围 ， 例 如 在 大 楼 项 上 安装 微波 天 线 ， 使 得 两 个 大 楼 中 的 局 域 网 互相 连通 ， 这 可 能 比 挖 地 沟 埋 
电费 的 花费 更 少 。 

通信 卫星 可 看 作 是 悬 在 太空 中 的 微波 中 继 站 。 卫 星 上 的 转发 器 把 波束 对 准 地球 上 的 一 定 区 
域 ， 在 此 区 域 中 的 卫星 地 面 站 之 间 就 可 互相 通信 。 地 面 站 以 一 定 的 频率 段 向 卫星 发 送信 息 〈 称 
为 上 行 频段 )， 卫 星 上 的 转发 器 将 接收 到 的 信号 放大 并 变换 到 另 一 个 频段 上 〈 称 下 行 频段 ) 发 
回 地 面 接收 站 。 这 样 的 卫星 通信 系统 可 以 在 一 定 的 区 域内 组 成 广播 式 通信 网 络 ， 特 别 适 合 于 海 
上 、 室 中 、 矿 山 、 油 田 等 经 常 移动 的 工作 环境 。 卫 星 传输 供应 商 可 以 将 卫星 信道 划分 成 许多 子 
信道 出 租 给 商业 用 户 ， 用 户 安装 甚 小 孔径 终端 系统 (VSAT) 组 成 卫星 专用 网 ， 地 面 上 的 集中 
站 作为 收发 中 心 与 用 户 交换 信息 。 

微波 通信 的 频率 段 为 吉兆 段 的 低 端 ， 一 般 是 1 一 11GHz， 因 而 它 具 有 带宽 高 、 容 量 大 的 特 
点 。 由 于 使 用 了 高 频率 ， 因 此 可 使 用 小 型 天 线 ， 便 于 安装 和 移动 。 不 过 微波 信号 容易 受到 电磁 
和 干扰， 地 面 微 波 通信 也 会 造成 相互 之 间 的 干扰 ， 大 气 层 中 的 雨 雪 会 大 量 吸 收 微波 信号 ， 当 长 距 
离 传 输 时 会 使 得 信号 衰减 以 至 无 法 接收 。 另 外 ， 通 信 卫 星 为 了 保持 与 地 球 自转 同步 ， 一 般 停 在 
36 000km 的 高 室 。 这 样 长 的 距离 会 造成 240 一 280ms 的 时 延 ， 在 利用 卫星 信道 组 网 时 ， 这 样 长 的 时 
延 是 必须 考虑 的 因素 。 

最 新 采用 的 无 线 传输 介质 要 算 红外 线 了 《如 图 2-8 所 示 )。 红 外 传输 系统 利用 墙壁 或 屋顶 反射 
红外 线 从 而 形成 整个 房间 内 的 广播 通信 系统 。 这 种 系统 所 用 的 红外 光 发 射 器 和 接收 器 常见 于 电 
视 机 的 遥控 装置 中 。 红 外 通信 的 设备 相对 便宜 ， 可 获得 高 的 带宽 ， 这 是 这 种 通信 方式 的 优点 。 
其 缺点 是 传输 距离 有 限 ， 而 且 易 受 室内 空气 状态 (例如 有 烟雾 等 ) 的 影响 。 

无 线 电 短 波 通信 早已 用 在 计算 机 网 络 中 了 ， 已 经 建成 的 无 线 通信 局 域 网 使 用 了 甚 高 频 
(30 一 300MHz) 和 超 高 频 (300 一 3000MHz) 的 电视 广播 频段 ， 这 个 频段 的 电磁 波 是 以 直线 方 
式 在 视 距 范围 内 传播 的 ， 所 以 用 作 局 部 地 区 的 通信 和 是 适宜 的 。 早 期 的 无 线 电 局 域 网 (例如 
ALOHA 系 统 ) 是 中 心 式 结构 一 一 有 一 个 类 似 于 通信 卫星 那样 的 中 心 站 , 每 一 个 主机 节点 都 把 天 
线 对 准 中 心 站 ， 并 以 频率 矿 向 中 心 站 发 送信 息 ， 这 就 是 上 行 线路 ; 中心 站 向 各 主机 节点 发 送信 
息 时 采用 另外 一 个 频率 万 进行 广播 ， 这 叫 下 行 线路 。 采 用 这 种 网 络 通信 方式 要 解决 好 上 行 线路 
中 由 于 两 个 以 上 的 站 同时 发 送信 息 而 发 生 冲 突 的 问题 。 后 来 的 无 线 电 局 域 网 采用 分 布 式 结 
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构 一 一 没有 中 心 站 , 节点 机 的 天 线 是 没有 方向 
的 ， 每 个 节点 机 都 可 以 发 送 或 接收 信息 。 这 种 
通信 方式 适合 于 由 微机 工作 站 组 成 的 资源 分 
布 系统 , 在 不 便于 建设 有 线 通信 线路 的 地 方 可 
以 快速 建成 计算 机 网 络 。 短波 通信 设备 比较 便 
宜 , 便于 移动 , 没有 像 地 面 微波 站 那样 的 方向 








性 ， 并 且 中 继 站 可 以 传送 很 远 的 距离 。 但 是 ， 计算 机 计算 机 计算 机 
这 种 情况 容易 受到 电磁 干扰 和 地 形 地 狐 的 影 

响 ， 而 且 带 宽 比 微波 通信 要 小 。 图 2-8 红外 传输 
2.4 数据 编码 


二 进 制 数字 信息 在 传输 过 程 中 可 以 采用 不 同 的 代码 ,各 种 代码 的 抗 噪声 特性 和 定时 功能 各 
不 相同 ， 实 现 费 用 也 不 一 样 。 下 面 介绍 几 种 常用 的 编码 方案 ， 如 图 2-9 所 示 。 
单 极 性 码 
极 性 码 
双 极 性 码 
归 零 码 
双 相 码 
不 归 零 码 
曼彻斯特 编码 


差分 曼彻斯特 编码 


le+ 1e+ S++lieo+t+tlIS+1Seo+1o+16o+ 








编码 














图 2-9 常用 编码 方案 
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1. 单 极 性 码 


在 这 种 编码 方案 中 ， 只 用 正 的 《或 负 的 ) 电压 表示 数据 。 例 如 ， 在 图 2-9 中 用 +3V 表示 二 
进 制 数字 “0”， 用 0V 表示 二 进 制 数字 “1”。 单 极 性 码 用 在 电 传 打字 机 (TTY) 接口 以 及 PC 
与 TTY 兼容 的 接口 中 ， 这 种 代码 需要 单独 的 时 钟 信 号 配合 定时 ， 否 则 ， 当 传送 一 长 串 0 或 1 
时 ， 发 送 机 和 接收 机 的 时 钟 将 无 法 定时 ， 单 极 性 码 的 抗 噪声 特性 也 不 好 。 


2. 极 性 码 


在 这 种 编码 方案 中 ,分别 用 正 电 压 和 负电 压 表示 二 进 制 数 “0” 和 “1”。 例 如， 在 图 2-9 中 用 
+3V 表示 二 进 制 数字 “0”， 用 -3V 表示 二 进 制 数字 “1”。 这 种 代码 的 电 平 差 比 单 极 码 大 ， 因 而 
抗 干扰 特性 好 ， 但 仍然 需要 另外 的 时 钟 信 号 。 


3， 双 极 性 码 


在 双 极 性 编码 方案 中 ， 信 号 在 3 个 电 平 ( 正 、 负 、 零 ) 之 间 变 化 。 一 种 典型 的 双 极 性 码 就 
是 所 谓 的 信号 交替 反 转 编码 (Alternate Mark Inversion，AMI)。 在 AMI 信号 中 ， 数 据 流 中 遇 到 
“1” 时 使 电 平 在 正和 负 之 间 交 替 翻 转 ， 而 遇 到 “0” 时 则 保持 零 电 平 。 双 极 性 是 三 进 制 信号 编 
码 方法 ， 它 与 二 进 制 编码 相 比 抗 噪声 特性 更 好 。AMI 有 其 内 在 的 检 错 能 力 ， 当 正 负 脉冲 交 替 出 
现 的 规律 被 打 乱 时 容易 识别 出 来 ,这 种 情况 叫 AMI 违例 .这 种 编码 方案 的 缺点 是 当 传 送 长 串 "0” 
时 会 失去 位 同步 信息 。 对 此 稍 加 改进 的 一 种 方案 是 “6 零 取代 ” 双 极 性 码 B6ZS, 即 把 连续 6 个 “0” 
用 一 组 代码 代替 。 这 一 组 代码 中 若 含有 AMI 违例 ， 便 可 以 被 接收 机 识别 出 来 。 


4. 归 零 码 


在 归 零 码 (Retum to Zero，RZ) 中 ， 码 元 中 间 的 信号 回归 到 零 电 平 ， 因 此 ， 任 意 两 个 码 元 
之 间 被 零 电 平 隔 开 。 与 以 上 仅 在 码 元 之 间 有 电 平 转换 的 编码 方案 相 比 ， 这 种 编码 方案 有 更 好 的 
噪声 抑制 特性 。 因 为 噪声 对 电 平 的 干扰 比 对 电 平 转换 的 干扰 要 强 ， 而 这 种 编码 方案 是 以 识别 电 
平 转换 边 来 判别 “0” 和 “1” 信 号 的 。 图 2-9 中 表示 出 的 是 一 种 双 极 性 归 零 码 。 可 以 看 出 ， 从 
正 电 平 到 零 电 平 的 转换 边 表 示 码 元 “0”， 从 负电 平 到 零 电 平 的 转换 边 表示 码 元 “1”， 同时 每 一 
位 码 元 中 间 都 有 电 平 转换 ， 使 得 这 种 编码 成 为 自 定时 的 编码 。 


5. 双 相 码 


双 相 码 要 求 每 一 位 中 都 要 有 一 个 电 平 转换 。 因 而 这 种 代码 的 最 大 优点 是 自 定时 ， 同 时 双 相 
码 也 有 检测 错误 的 功能 ， 如 果 某 一 位 中 间 缺 少 了 电 平 翻转 ， 则 被 认为 是 违例 代码 。 
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6. 不 归 零 码 


图 2-9 中 所 示 的 不 归 零 码 (Not Retum to Zero，NRZ) 的 规律 是 当 “1” 出 现时 电 平 翻转 ， 
当 “0” 出 现时 电 平 不 翻转 。 因 而 数据 “1” 和 “0” 的 区 别 不 是 高 低 电 平 ， 而 是 电 平 是 否 转换 。 
这 种 代码 也 叫 差分 码 ， 用 在 终端 到 调制 解 调 器 的 接口 中 。 这 种 编码 的 特点 是 实现 起 来 简单 而 且 
费用 低 ， 但 不 是 自 定时 的 。 


7， 曼彻斯特 编码 


曼彻斯特 编码 (Manchester Code) 是 一 种 双 相 码 。 在 图 2-9 中 ， 用 高 电 平 到 低 电 平 的 转换 
边 表示 “0”， 用 低 电 平 到 高 电 平 的 转换 边 表 示 “1”， 相反 的 表示 也 是 允许 的 。 位 中 间 的 电 平 转 
换 边 既 表示 了 数据 代码 ， 同 时 也 作为 定时 信号 使 用 。 曼 彻 斯 特 编码 用 在 以 太 网 中 。 


8.， 差分 曼彻斯特 编码 


这 种 编码 也 是 一 种 双 相 码 ， 和 曼彻斯特 编码 不 同 的 是 ， 这 种 码 元 中 间 的 电 平 转换 边 只 作为 
定时 信号 ， 不 表示 数据 。 数 据 的 表示 在 于 每 一 位 开始 处 是 否 有 电 平 转 换 ; 有 电 平 转换 表示 “0”， 
无 电 平 转 换 表示 “1"。 差 分 曼彻斯特 编码 用 在 令 牌 环 网 中 。 

从 曼彻斯特 码 和 差分 曼彻斯特 码 的 图 形 中 可 以 看 出 ， 这 两 种 双 相 码 的 每 一 个 码 元 都 要 调制 
为 两 个 不 同 的 电 平 ， 因 而 调制 速率 是 码 元 速率 的 2 倍 。 这 对 信道 的 带宽 提出 了 更 高 的 要 求 ， 所 
以 实现 起 来 更 困难 也 更 晶 贵 。 但 由 于 其 良好 的 抗 噪声 特性 和 自 定时 功能 ， 在 局 域 网 中 仍 被 广泛 
使 用 。 

9， 多 电 平 编码 


这 种 编码 的 码 元 可 取 多 个 电 平 之 一 ， 每 个 码 元 可 代表 几 个 二 进 制 位 。 例 如 ， 令 M= 2"， 设 
M=4， 则 n=2。 若 表示 码 元 的 脉冲 取 4 个 电 平 之 一 ， 则 一 个 码 元 可 表示 两 个 二 进 制 位 。 与 双 相 
码 相 反 ， 多 电 平 码 的 数据 速率 大 于 波 特 率 ， 因 而 可 提高 频带 的 利用 率 。 但 是 这 种 代码 的 抗 噪声 
特性 不 好 ， 在 传输 过 程 中 信号 容易 畸变 到 无 法 区 分 。 

在 数据 通信 中 ， 选 择 什么 样 的 数据 编码 要 根据 传输 的 速度 、 信 道 的 带宽 、 线 路 的 质量 以 及 
实现 的 价格 等 因素 综合 考虑 。 


10. 4B/SB 编码 








在 曼彻斯特 编码 和 差分 曼彻斯特 编码 中 ， 每 位 中 间 都 有 一 次 电 平 跳 变 ， 因 此 波 特 率 是 数据 
速率 的 两 倍 。 对 于 100Mbps 的 高 速 网 络 ， 如 果 采 用 这 类 编码 方法 ， 就 需要 200 兆 的 波 特 率 ， 其 
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硬件 成 本 是 100 光波 特 率 硬件 成 本 的 5 一 10 倍 。 
为 了 提高 编码 的 效率 ， 降 低 电 路 成 本 ， 可 以 采用 4B/5B 编码 。 这 种 编码 方法 的 原理 如 图 2-10 


所 示 。 


1111 


4 位 符号 一 一 一 | 


5 位 码 组 


























4B/5B 11101 NRZ/NRZ-I 
译 码 器 | “| 译 码 器 

















图 2-10 4B/5B 编码 





介质 


这 实际 上 是 一 种 两 级 编码 方案 。 系 统 中 使 用 不 归 零 码 ， 在 发 送 到 传输 介质 之 前 要 变 成 见 1 
就 翻 不 归 零 码 (NRZ-D)。NRZ-I 代 码 序列 中 1 的 个 数 越 多 ， 越 能 提供 同步 定时 信息 ， 但 如 果 遇 
到 长 串 的 0， 则 不 能 提供 同步 信息 。 所 以 在 发 送 到 介质 之 前 还 需 经 过 一 次 4B/5B 编码 ， 发 送 器 
扫描 要 发 送 的 位 序列 ，4 位 分 为 一 组 ， 然 后 按照 表 2-2 的 对 应 规则 变换 成 5 位 的 代码 。 


十 六 进 制 数 ”| 4 位 二 进 制 数 
0 0000 
1 0001 
人 0010 
3 0011 
4 0100 
和 0101 
6 0110 
7 0111 





表 2-2 4B/5B 编码 规则 


十 六 进 制 数 


lo | A 
| ooo | ec 
| om | = 





4 位 二 进 制 数 4B/5B 编码 


1000 
1001 
1010 
1011 
1100 
1101 
1110 
1111 


10010 
10011 
10110 
10111 
11010 
11011 
11100 
11101 





5 位 二 进 制 代码 的 状态 共有 32 种 ， 在 表 2-2 中 选用 的 5 位 代码 中 1 的 个 数 都 不 少 于 两 个 。 
这 就 保证 了 在 介质 上 传输 的 代码 能 提供 足够 多 的 同步 信息 。 另 外 ,还 有 8B/10B 编码 等 方法 ,其 原 


理 是 类 似 的 。 


2.5 ”数字 调制 技术 


数字 数据 不 仅 可 以 用 方 波 脉冲 传输 ， 也 可 以 用 模拟 信号 传输 。 用 数字 数据 调制 模拟 信号 叫 
作 数 字 调制 。 这 一 节 讲 述 简单 的 数字 调制 技术 。 


可 以 调制 模拟 载波 信号 的 3 个 参数 





幅度 、 频 移 和 相 移 来 表示 数字 数据 。 在 电话 系统 中 


就 是 传输 这 种 经 过 调制 的 模拟 载波 信号 的 。3 种 基本 模拟 调制 方式 如 图 2-11 所 示 。 
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ASK 





FSK 


PSK 





图 2-11 3 种 调制 方式 


1. 幅度 键 控 (ASK) 


按照 这 种 调制 方式 , 载波 的 幅度 受到 数字 数据 的 调制 而 取 不 同 的 值 , 例如 对 应 二 进 制 “0”， 
载波 振幅 为 “0”， 对 应 二 进 制 “1”， 载 波 振幅 取 “1”。 调 幅 技 术 虽 然 实 现 起 来 简单 ， 但 抗 干 扰 
性 能 较 差 。 

2， 频 移 键 控 (FSK) 

按照 数字 数据 的 值 调制 载波 的 频率 叫 作 频 移 键 控 。 例 如 ， 对 应 二 进 制 “0” 的 载波 频率 为 
态 ， 对 应 二 进 制 “1” 的 载波 频率 为 凡 。 这 种 调制 技术 的 抗 干扰 性 能 好 ， 但 占用 的 带宽 较 大 。 在 
有 些 低速 调制 解 调 器 中 ， 用 这 种 调制 技术 把 数字 数据 变 成 模拟 音频 信号 传送 。 

3. 相 移 键 控 (PSK) 

用 数字 数据 的 值 调制 载波 相位 ， 这 就 是 相 移 键 控 。 例 如 ， 用 180 相 移 表示 “1”， 用 0 相 移 
表示 0。 这 种 调制 方式 抗 干 扰 性 能 好 ， 而 且 相 位 的 变化 也 可 以 作为 定时 信息 来 同步 发 送 机 和 接 
收 机 的 时 钟 。 码 元 只 取 两 个 相位 值 叫 2 相 调制 ， 码 元 可 取 4 个 相位 值 叫 4 相 调制 。4 相 调 制 时 ， 
一 个 码 元 代表 两 位 二 进 制 数 (如 表 2-3 所 示 )。 采 用 4 相 或 更 多 相 的 调制 能 提供 较 高 的 数据 速率 ， 
但 实现 技术 更 复杂 。 


表 2-3 4 相 调制 方案 


位 AB 方案 1 方案 2 位 AB 方案 1 方案 2 
00 0° 45° 10 180° 区 于 
01 90° 135° 11 270° 315° 
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可 见 ， 数 字 调 制 的 结果 是 模拟 信号 的 某 个 参量 幅度、 频率 或 相位 ) 取 离散 值 。 这 些 值 与 
传输 的 数字 数据 是 对 应 的 ， 这 是 数字 调制 与 传统 的 模拟 调制 不 同 的 地 方 。 

4. 正 交 幅度 调制 

所 谓 正 交 幅 度 调制 (Quadrature Amplitude Modulation，QAM) 就 是 把 两 个 幅度 相同 但 相位 
相差 90” 的 模拟 信号 合成 为 一 个 模拟 信号 。 表 2-4 的 例子 是 把 ASK 和 PSK 技术 结合 起 来 ， 形 
成 幅度 相位 复合 调制 ， 这 也 是 一 种 正 交 幅度 调制 技术 。 由 于 形成 了 16 种 不 同 的 码 元 ， 所 以 每 一 个 
码 元 可 以 表示 4 位 二 进 制 数据 ， 使 得 数据 速率 大 大 提高 。 

表 2-4 ”幅度 相位 复合 调制 


二 进 制 数 二 进 制 数 码 元 相位 





0000 45° 
0001 0° 
0010 90° 
0011 135° 
0100 270° 
0101 EF 
1010 225° 
0111 180° 


2.6 ”脉冲 编码 调制 


模拟 数据 通过 数字 信道 传输 时 效率 高 、 失 真 小 ， 而 且 可 以 开发 新 的 通信 业务 ， 例 如 ， 在 数 
字 电 话 系统 中 可 以 提供 语音 信箱 功能 。 把 模拟 数据 转化 成 数字 信号 ， 要 使 用 叫 作 编码 解码 器 
(Codec) 的 设备 。 这 种 设备 的 作用 和 调制 解 调 器 的 作用 相反 ， 它 是 把 模拟 数据 (例如 声音 、 图 
像 等 ) 变换 成 数字 信号 ， 经 传输 到 达 接 收 端 再 解码 还 原 为 模拟 数据 。 用 编码 解码 器 把 模拟 数据 
变换 为 数字 信号 的 过 程 叫 模拟 数据 的 数字 化 。 常 用 的 数字 化 技术 就 是 脉冲 编码 调制 技术 (Pulse 
Code Modulation，PCM)， 简 称 脉 码 调制 。 


2.6.1 取样 


每 隔 一 定 的 时 间 ， 取 模拟 信号 的 当前 值 作为 样本 ， 该 样本 代表 了 模拟 信号 在 某 一 时 刻 的 瞬 
时 值 。 一 系列 连续 的 样本 可 用 来 代表 模拟 信号 在 某 一 区 间 随 时 间 变化 的 值 。 以 什么 样 的 频率 取 
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样 ， 才 能 得 到 近似 于 原 信号 的 样本 空间 呢 ? 奈奈 斯 特 取样 定理 告诉 我 们 ， 如 果 取样 速率 大 于 杰 
拟 信号 最 高 频率 的 两 售 ， 则 可 以 用 得 到 的 样本 空间 恢复 原 玉 的 模拟 信号 ， 即 

/ => 2fom 
其 中 /为 取样 频率 ,了 为 取样 周期 ,fw 为 信号 的 最 高 频率 。 
2.6.2 量化 


取样 后 得 到 的 样本 是 连续 值 , 这 些 样 本 必须 量化 为 离散 
值 ， 离 散 值 的 个 数 决定 了 量化 的 精度 。 在 图 2-12 中 ， 把 量 
化 的 等 级 分 为 16 级 ， 用 0000 一 1111 这 16 个 二 进 制 数 分 别 
代表 0.1 一 1.6 这 16 个 不 同 的 电 平 幅 度 。 


2.6.3 编码 


把 量化 后 的 样本 值 变 成 相应 的 二 进 制 代码 , 可 以 得 到 相 
应 的 二 进 制 代码 序列 ， 其 中 每 个 二 进 制 代 码 都 可 用 一 个 脉冲 串 〈4 位 ) 来 表示 ， 这 4 位 一 组 的 
脉冲 序列 就 代表 了 经 PCM 编码 的 模拟 信号 。 

由 上 述 脉 码 调制 的 原理 可 以 看 出 ， 取 样 的 速率 是 由 模拟 信号 的 最 高 频率 决定 的 ， 而 量化 级 
的 多 少 则 决定 了 取样 的 精度 。 在 实际 使 用 中 ， 希 望 取样 的 速率 不 要 太 高 ， 以 免 编码 解码 器 的 工 
作 频 率 太 快 ; 也 希望 量化 的 等 级 不 要 太 多 ， 能 满足 需要 就 行 了 ， 以 免得 到 的 数据 量 太 大 ， 记 以 
这 些 参数 都 取 下 限 值 。 例 如 ， 对 声音 信号 数字 化 时 ， 由 于 话音 的 最 高 频率 是 和 Hz， 所 以 取样 速率 
是 8kHz。 对 话音 样本 用 128 个 等 级 量化 ， 因 而 每 个 样本 用 7 位 二 进 制 数字 表示 。 在 数字 信道 上 
传输 这 种 数字 化 了 的 话音 信号 的 速率 是 7X 8000=56kbps。 如 果 对 电视 信号 数字 化 ， 由 于 视频 信 
号 的 带宽 更 大 (6MHz)， 取 样 速率 就 要 求 更 高 ， 假 若 量化 等 级 更 多 ， 对 数据 速率 的 要 求 也 就 更 
高 了 。 


2.7 ”通信 方式 和 交换 方式 


2.7.1 数据 通信 方式 
1. 通信 方向 





图 2-12 脉冲 编码 调制 


按 数 据 传输 的 方向 分 ， 可 以 有 下 面 3 种 不 同 的 通信 方式 。 
(1) 单 工 通信 。 在 单 工 信 道 上 ， 信 息 只 能 在 一 个 方向 传送 ， 发 送 方 不 能 接收 ， 接 收 方 也 不 
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E 发 送 。 信 和 道 的 全 部 带宽 都 用 于 由 发 送 方 到 接收 方 的 数据 传送 。 无 线 电 广播 和 电视 广播 都 是 单 
工 通信 的 例子 。 

(2) 半 双 工 通 信 。 在 半 双 工 信 道 上 ， 通 信 的 双方 可 交替 发 送 和 接收 信息 ， 但 不 能 同时 发 送 
和 接收 。 在 一 段 时 间 内 ， 信 道 的 全 部 带宽 用 于 在 一 个 方向 上 传送 信息 ， 航 空 和 航海 无 线 电台 以 
及 无 线 对 讲 机 等 都 是 以 这 种 方式 通信 的 。 这 种 方式 要 求 通信 双方 都 有 发 送 和 接收 能 力 ， 因 而 比 
单 工 通信 设备 昂贵 ， 但 比 全 双 工 设备 便宜 。 在 要 求 不 是 很 高 的 场合 ， 多 采用 这 种 通信 方式 ， 虽 
然 转换 传送 方向 会 带 来 额外 的 开销 。 

(3) 全 双 工 通信 。 这 是 一 种 可 同时 进行 双向 信息 传送 的 通信 方式 ， 例 如 现代 的 电话 通信 就 
是 这 样 的 。 全 双 工 通信 不 仅 要 求 通信 双方 都 有 发 送 和 接收 设备 ， 而 且 要 求 信道 能 提供 双向 传输 
的 双 倍 带宽 ， 所 以 全 双 工 通信 设备 最 昂贵 。 


2. 同步 方式 


在 通信 过 程 中 ， 发 送 方 和 接收 方 必须 在 时 间 上 保持 同步 才能 准确 地 传送 信息 。 前 面 曾 提 到 
过 信号 编码 的 同步 作用 ， 这 叫 码 元 同步 。 另 外 ， 在 传送 由 多 个 码 元 组 成 的 字符 以 及 由 许多 字符 
组 成 的 数据 块 时 , 通信 双方 也 要 就 信息 的 起 止 时 间 取得 一 致 。 这 种 同步 作用 有 两 种 不 同 的 方式 ， 
因而 对 应 了 两 种 不 同 的 传输 方式 。 

(1) 异步 传输 。 即 把 各 个 字符 分 开 传输 ， 字 符 之 间 插入 同步 信息 。 这 种 方式 也 叫 起 止 式 ， 
即 在 字符 的 前 后 分 别 插入 起 始 位 “0”) 和 停止 位 (“1”)， 如 图 2-13 所 示 。 起 始 位 对 接收 方 的 
时 钟 起 置 位 作用 。 接 收 方 时 钟 置 位 后 只 要 在 8 一 11 位 的 传送 时 间 内 准确 ， 就 能 正确 接收 一 个 字 
符 。 最 后 的 停止 位 告诉 接收 方 该 字符 传送 结束 ， 然 后 接收 方 就 可 以 检测 后 续 字符 的 起 始 位 了 。 
当 没有 字符 传送 时 ， 连 续 传送 停止 位 。 
7 位 1 位 1 位 


1 位 





图 2-13 异步 传输 


加 入 校 验 位 的 目的 是 检查 传输 中 的 错误 ， 一 般 使 用 奇偶 校 验 。 异 步 传 输 的 优点 是 简单 ， 但 
是 由 于 起 止 位 和 检验 位 的 加 入 会 引入 20% 一 30% 的 开销 ， 传 输 的 速率 也 不 会 很 高 。 

(2) 同步 传输 。 异 步 传 输 不 适合 于 传送 大 的 数据 块 ( 例 如 磁盘 文件 )， 同 步 传 输 在 传送 连 
续 的 数据 块 时 比 异 步 传输 更 有 效 。 按 照 这 种 方式 ， 发 送 方 在 发 送 数据 之 前 先 发 送 一 串 同步 字符 
SYNC， 接 收 方 只 要 检测 到 连续 两 个 以 上 SYNC 字符 就 确认 已 进入 同步 状态 ， 准 备 接收 信息 。 
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随后 的 传送 过 程 中 双方 以 同一 频率 工作 《〈 信 和 号 编码 的 定时 作用 也 表现 在 这 里 )， 直 到 传送 完 指 
示 数 据 结束 的 控制 字符 。 这 种 同步 方式 仅 在 数据 块 的 前 后 加 入 控制 字符 SYNC, 所 以 效率 更 高 。 
在 短 距离 高 速 数据 传输 中 ， 多 采用 同步 传输 方式 。 


2.7.2 ”交换 方式 


一 个 通信 网 络 由 许多 交换 节点 互 连 而 成 。 信 息 在 这 样 的 网 络 中 传输 就 像 火车 在 铁路 网 络 中 
运行 一 样 ， 经 过 一 系列 交换 节点 〈 车 站 )， 从 一 条 线路 交换 到 另 一 条 线路 ， 最 后 才能 到 达 目 的 
地 。 交 换 节点 转发 信息 的 方式 可 分 为 电路 交换 、 报 文 交 换 和 分 组 交换 3 种 。 

1. 电路 交换 

这 种 交换 方式 把 发 送 方 和 接收 方 用 一 系列 链 路 直接 连通 (如 图 2-14 所 示 )。 电 话 交 换 系 统 
就 是 采用 这 种 交换 方式 。 当 交换 机 收 到 一 个 呼叫 后 就 在 网 络 中 寻找 一 条 临时 通路 供 两 端的 用 户 
通话 ， 这 条 临时 通路 可 能 要 经 过 若干 个 交换 局 的 转 接 ， 并 且 一 旦 建立 连接 就 成 为 这 一 对 用 户 之 
间 的 临时 专用 通路 ， 其 他 用 户 不 能 打 断 ， 直 到 通话 结束 才 拆 除 连接 。 





图 2-14 电路 交换 


早期 的 电路 交换 机 采用 空 分 交换 技术 。 图 2-15 表示 由 n 条 全 双 工 输入 输出 线路 组 成 的 纵 
横 交 换 矩 阵 ， 在 输入 线路 和 输出 线路 的 交叉 点 处 有 接触 开关 。 每 个 站 点 分 别 与 一 条 输入 线路 和 
一 条 输出 线路 相连 ， 只 要 适当 控制 这 些 交 叉 触 点 的 通 断 ， 就 可 以 控制 任意 两 个 站 点 之 间 的 数据 
交换 。 这 种 交换 机 的 开关 数量 与 站 点 数 的 平方 成 正比 ， 成 本 高 ， 可 靠 性 差 ， 已 经 被 更 先进 的 时 
分 交换 技术 取代 了 。 

时 分 交换 是 时 分 多 路 复 用 技术 在 交换 机 中 的 应 用 。 图 2-16 所 示 为 常见 的 TDM 总 线 交换 ， 
每 个 站 点 都 通过 全 双 工 线路 与 交换 机 相连 ， 当 交换 机 中 的 某 个 控制 开关 接 通 时 该 线路 获得 一 个 
时 槽 ， 线 路 上 的 数据 被 输出 到 总 线 上 。 在 数字 总 线 的 另 一 端 按照 同样 的 方法 接收 各 个 时 槽 上 的 
数据 。 
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电路 交换 的 特点 是 建立 连接 需要 等 待 较 长 的 时 间 。 由 于 连接 建立 后 通路 是 专用 的 ， 因 而 不 
会 有 其 他 用 户 的 和 干扰， 不 再 有 等 待 延迟 。 这 种 交换 方式 适合 于 传输 大 量 的 数据 ， 传 输 少 量 信息 
时 效率 不 高 。 

2. 报 文 交换 


这 种 方式 不 要 求 在 两 个 通信 节点 之 间 建 立 专用 通路 。 节 点 把 要 发 送 的 信息 组 织 成 一 个 数据 
包 一 一 报 文 ， 该 报 文中 含有 目标 节点 的 地 址 ， 完 整 的 报 文 在 网 络 中 一 站 一 站 地 向 前 传送 。 每 一 
个 节点 接收 整个 报 文 ， 检 查 目标 节点 地 址 ， 然 后 根据 网 络 中 的 “交通 情况 ”在 适当 的 时 候 转发 
到 下 一 个 节点 。 经 过 多 次 的 存储 一 转发 ， 最 后 到 达 目 标 节点 (如 图 2-17 所 示 )， 因 而 这 样 的 网 
络 叫 存储 -转发 网 络 。 其 中 的 交换 节点 要 有 足够 大 的 存储 空间 (一般 是 磁盘 )， 用 于 缓冲 接收 到 
的 长 报 文 。 交 换 节点 对 各 个 方向 上 收 到 的 报 文 排队 ， 寻 找 下 一 个 转发 节点 ， 然 后 再 转发 出 去 ， 
这 些 都 带 来 了 排队 等 待 延 迟 。 报 文 交 换 的 优点 是 不 建立 专用 链 路 ， 线 路 是 共享 的 ， 因 而 利用 率 
较 高 ， 这 是 由 通信 中 的 等 待 时 延 换 来 的 。 


人 























人 


图 2-17 报 文 交 换 
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在 这 种 交换 方式 中 数据 包 有 固定 的 长 度 ， 因 而 交换 节点 只 要 在 内 存 中 开辟 一 个 小 的 缓冲 区 
就 可 以 了 。 在 进行 分 组 交换 时 ， 发 送 节 点 先 要 对 传送 的 信息 分 组 ， 对 各 个 分 组 编号 ， 加 上 源 地 
址 和 目标 地 址 以 及 约定 的 分 组 头 信息 ， 这 个 过 程 叫 作 信息 的 打包 。 一 次 通信 中 的 所 有 分 组 在 网 
络 中 传播 又 有 两 种 方式 ， 一 种 叫 数据 报 (Datagram)， 另 一 种 叫 虚 电路 〈Virtual Circuit)， 下 面 分 别 
介绍 。 

(1) 数据 报 。 类 似 于 报 文 交换 ， 每 个 分 组 在 网 络 中 的 传播 路 径 完 全 是 由 网 络 当时 的 状况 随 
机 决定 的 。 因 为 每 个 分 组 都 有 完整 的 地 址 信息 ， 如 果 不 出 意外 都 可 以 到 达 目 的 地 。 但 是 ， 到 达 
目的 地 的 顺序 可 能 和 发 送 的 顺序 不 一 臻 。 有 些 早 发 的 分 组 可 能 在 中 间 某 段 交通 拥挤 的 链 路 上 耽 
搁 了 ， 比 后 发 的 分 组 到 得 迟 ， 目 标 主机 必须 对 收 到 的 分 组 重新 排序 才能 恢复 原来 的 信息 。 一 般 
来 说 ， 在 发 送 端 要 有 一 个 设备 对 信息 进行 分 组 和 编号 ， 在 接收 端 也 要 有 一 个 设备 对 收 到 的 分 组 
拆 去 头 、 尾 并 重 排 顺序 , 具有 这 些 功 能 的 设备 叫 分 组 拆 装 设备 (Packet Assembly and Disassembly 
device，PAD )， 通 信 双 方 各 有 一 个 。 

(2) 虚 电 路 。 类 似 于 电路 交换 ， 这 种 方式 要 求 在 发 送 端 和 接收 端 之 间 建 立 一 条 网 辑 连 接 。 

会 话 开 始 时 ， 发 送 端 先 发 送 建立 连接 的 请 求 消息 ， 这 个 请 求 消息 在 网 络 中 传播 ， 途 中 的 各 个 
交换 节点 根据 当时 的 交通 状况 决定 取 哪 条 线路 来 响应 这 一 请 求 ， 最 后 到 达 目 的 端 。 如 果 目 的 端 
给 予 肯定 的 回答 ， 则 风 辑 连接 就 建立 了 。 以 后 发 送 端 发 出 的 一 系列 分 组 都 走 这 一 条 通路 ， 直 到 
会 话 结束 ， 拆 除 连接 。 与 电路 交换 不 同 的 是 ， 池 辑 连接 的 建立 并 不 意味 着 其 他 通信 不 能 使 用 这 
条 线路 ， 它 仍然 具有 链 路 共享 的 优点 。 

按 虚 电路 方式 通信 ， 接 收 方 要 对 正确 收 到 的 分 组 给 予 回答 确认 ， 通 信 双 方 要 进行 流量 控制 
和 差错 控制 ， 以 保证 按 顺 序 正确 接收 ， 所 以 虚 电 路 意味 着 可 靠 的 通信 。 当 然 ， 它 涉及 更 多 的 技 
术 ， 需 要 更 大 的 开销 。 也 就 是 说 ， 它 没有 数据 报 方式 灵活 ， 效 率 不 如 数据 报 方式 高 。 

虚 电 路 可 以 是 暂时 的 ,， 即 会 话 开始 建立 , 会 话 结束 拆除 ,这 叫 作 虚 呼叫 ; 也 可 以 是 永久 的 ， 
即 通信 双方 一 开机 就 自动 建立 连接 ， 直 到 一 方 请 求 释放 才 断 开 连 接 ， 这 叫 作 永久 虚 电 路 。 

虚 电 路 适合 于 交互 式 通信 ， 这 是 它 从 电路 交换 那里 继承 的 优点 。 数 据 报 方式 更 适合 于 单 向 
地 传送 短 消 息 ， 采 用 固定 的 、 短 的 分 组 相对 于 报 文 交换 是 一 个 重要 的 优点 。 除 了 交换 节点 的 存 
储 缓冲 区 可 以 小 一 些 外 ， 也 带 来 了 传播 时 延 的 减 小 。 分 组 交换 也 意味 着 按 分 组 纠 错 ， 发 现 错误 
只 需 重 发 出 错 的 分 组 ， 使 通信 效率 提高 。 广 域 网 络 一 般 都 采用 分 组 交换 方式 ， 按 交换 的 分 组 数 
收费 ， 而 不 是 像 电 话 网 那样 按 通 话 时 间 收 费 ， 这 当然 更 适合 计算 机 通信 的 突 发 式 特点 。 有 些 网 
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络 同时 提供 数据 报 和 虚 电 路 两 种 服务 ， 用 户 可 根据 需要 选用 。 
2.8 多 路 复 用 技术 
多 路 复 用 技术 是 把 多 个 低速 信道 组 合成 一 个 高 速 信道 的 技术 。 这 种 技术 要 用 到 两 个 设备 ， 
其 中 ， 多 路 复 用 器 (Multiplexer) 在 发 送 端 根据 某 种 约定 的 规则 把 多 个 低 带 宽 的 信号 复合 成 一 


个 高 带宽 的 信号 ;多 路 分 配器 (Demultiplexer) 在 接收 端 根据 同一 规则 把 高 带宽 信号 分 解 成 多 
个 低 带宽 信号 。 多 路 复 用 器 和 多 路 分 配器 统称 多 路 器 ， 简 写 为 MUX， 如 图 2-18 所 示 。 





图 2-18 多 路 复 用 


只 要 带宽 允许 ， 在 已 有 的 高 速 线路 上 采用 多 路 复 用 技术 可 以 省 去 安装 新 线路 的 大 笔 费 用 ， 

因而 现今 的 公共 交换 电话 网 (PSTN) 都 使 用 这 种 技术 ， 有 效 地 利用 了 高 速 干线 的 通信 能 力 。 
当然 ， 也 可 以 相反 地 使 用 多 路 复 用 技术 ， 即 把 一 个 高 带宽 的 信和 号 分 解 到 几 个 低速 线路 上 同 

时 传输 ， 然 后 在 接收 端 合成 为 原来 的 高 带宽 信号 。 例 如 ， 两 个 主机 可 以 通过 若干 条 低速 线路 连 

接 ， 以 满足 主机 间 高 速 通 信 的 要 求 。 

2.8.1 频 分 多 路 复 用 


频 分 多 路 复 用 是 在 一 条 传输 介质 上 使 用 多 个 频率 不 同 的 模拟 载波 信号 进行 多 路 传输 , 这 些 
载波 可 以 进行 任何 方式 的 调制 ， 如 ASK、FSK、PSK 以 及 它们 的 组 合 。 每 一 个 载波 信号 形成 了 
一 个 子 信道 , 各 个 子 信道 的 中 心 频 率 不 相 重 合 , 子 信道 之 间 留 有 一 定 宽度 的 隔离 频带 (如 图 2-19 
所 示 )。 

频 分 多 路 技术 早已 用 在 无 线 电 广播 系统 中 ， 在 有 线 电视 系统 (CATV) 中 也 使 用 频 分 多 路 
技术 。 一 根 CATV 电费 的 带宽 大 约 是 1 000MHz, 可 传送 多 个 频道 的 电视 节目 , 每 个 频道 6.5MHz 
的 带宽 中 又 划分 为 声音 子 通道 、 视 频 子 通道 以 及 彩色 子 通道 。 每 个 频道 两 边 都 留 有 一 定 的 警戒 
频带 ， 防 止 相互 串扰 。 

FDM 也 用 在 宽带 局 域 网 中 。 电线 带宽 至 少 要 划分 为 不 同方 向 上 的 两 个 子 频带 , 甚至 还 可 以 
分 出 一 定 带宽 用 于 某 些 工作 站 之 间 的 专用 连接 。 
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图 2-19 频 分 多 路 复 用 
2.8.2 ”时 分 多 路 复 用 
时 分 多 路 复 用 (Time Division Multiplexing，TDM) 要 求 各 个 子 通道 按时 间 片 轮流 地 占用 


整个 带宽 (如 图 2-20 所 示 )。 时 间 片 的 大 小 可 以 按 一 次 传送 一 位 、 一 个 字 节 或 一 个 固定 大 小 的 
数据 块 所 需 的 时 间 来 确定 。 





图 2-20 时 分 多 路 复 用 


时 分 多 路 技术 可 以 用 在 宽带 系统 中 ， 也 可 以 用 在 频 分 制 下 的 某 个 子 通道 上 。 时 分 制 按照 子 
通道 的 动态 利用 情况 又 可 分 为 两 种 ， 即 同步 时 分 和 统计 时 分 。 在 同步 时 分 制 下， 整个 传输 时 间 
被 划分 为 固定 大 小 的 周期 。 每 个 周期 内 ， 各 子 通道 都 在 固定 位 置 占有 一 个 时 槽 。 这 样 ， 在 接收 
端 可 以 按 约定 的 时 间 关系 恢复 各 子 通道 的 信息 流 。 当 某 个 子 通道 的 时 模 来 到 时 ， 如 果 没 有 信息 
要 传送 ， 这 一 部 分 带宽 就 浪费 了 。 统 计时 分 制 是 对 同步 时 分 制 的 改进 ， 特 别 把 统计 时 分 制 下 的 
多 路 复 用 器 称 为 集中 器 ， 以 强调 它 的 工作 特点 。 在 发 送 端 ， 集 中 器 依次 循环 扫描 各 个 子 通道 。 
若 某 个 子 通道 有 信息 要 发 送 则 为 它 分 配 一 个 时 模 ， 若 没有 就 跳 过 ， 这 样 就 没有 空 模 在 线路 上 传 
播 了 。 然 而 ， 需 要 在 每 个 时 槽 加 入 一 个 控制 字段 ， 以 便 接 收 端 可 以 确定 该 时 槽 是 属于 哪个 子 通 
道 的 。 
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2.8.3” 波 分 多 路 复 用 


波 分 多 路 复 用 (Wave Division Multiplexing，WDM) 使 用 在 光纤 通信 中 ， 不 同 的 子 信道 用 
不 同 波长 的 光波 承载 ， 多 路 复 用 信道 同时 传送 所 有 子 信道 的 波长 。 这 种 技术 在 网 络 中 要 使 用 能 
够 对 光波 进行 分 解 和 合成 的 多 路 器 ， 如 图 2-21 所 示 。 


41=1535nm 21=1535nm 





多 路 器 接收 器 


图 2-21 波 分 多 路 复 用 


2.8.4 ”数字 传输 系统 


在 介绍 脉 码 调制 时 曾 提 到 ， 对 4kHz 的 话音 信道 按 8kHz 的 速率 采样 ，128 级 量化 ， 则 每 个 
话音 信道 的 比特 率 是 56kbps。 为 每 一 个 这 样 的 低速 信道 安装 一 条 通信 线路 太 不 划算 了 ， 所 以 在 
实际 中 要 利用 多 路 复 用 技术 建立 更 高 效 的 通信 线路 。 在 美国 和 日 本 使 用 很 广 的 一 种 通信 标准 是 
贝尔 系统 的 Ti 载波 〈 如 图 2-22 所 示 )。 
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图 2-22 ”贝尔 系统 的 Ti 载波 
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Ti 载波 也 叫 一 次 群 ， 它 把 24 路 话音 信道 按时 分 多 路 的 原理 复合 在 一 条 1.544Mbps 的 高 速 信 
道上 。 该 系统 的 工作 是 这 样 的 ， 用 一 个 编码 解码 器 轮流 对 24 路 话音 信道 取样 、 量 化 和 编码 ， 
将 一 个 取样 周期 中 (125ps) 得 到 的 7 位 一 组 的 数字 合成 一 串 ， 共 7X24 位 长 。 这 样 的 数字 串 在 
送 入 高 速 信道 前 要 在 每 一 个 7 位 组 的 后 面 插入 一 个 信 令 位 ， 于 是 变 成 了 8X24=192 位 长 的 数字 
串 。 这 192 位 数字 组 成 一 帧 ， 最 后 再 加 入 一 个 帧 同步 位 ， 故 帧 长 为 193 位 。 每 125ps 传送 一 帧 ， 
其 中 包含 了 各 路 话音 信道 的 一 组 数字 ， 还 包含 了 总 共 24 位 的 控制 信息 以 及 1 位 帧 同步 信息 。 
这 样 ， 不 难 算出 T 载波 的 各 项 比特 率 。 对 每 一 路 话音 信道 来 说 ， 传 输 数据 的 比特 率 为 7b/125ps= 
56 kbps， 传 输 控制 信息 的 比特 率 为 1b/125hs=8 kbps， 总 的 比特 率 为 193 b/125hs=1.544 Mbps。 

Ti 载波 还 可 以 多 路 复 用 到 更 高 级 的 载波 上 ， 如 图 2-23 所 示 。4 个 1.544 Mbps 的 Ti 信道 结 
合成 1 个 6.312Mbps 的 T 信道 ， 多 增加 的 位 〈6.312-4X1.544=0.136) 是 为 了 组 帧 和 差错 恢复 。 
与 此 类 似 ，7 个 开 信 道 组 合成 1 个 Ti 信 道 ，6 个 T; 信 道 组 合成 1 个 Ts 信 道 。 


四 一 区 四 区 到 
汉 皇 [下 卫 雪 [站 王 委 [让 






























































三 :| 一 J 二 = 
一 一 一 一 0 se 和 一 ~ 
2 
T， [4 个 记 信道 了 下 人 信道 T 
1.544 Mbps 6.312Mbps 44.736Mbps 274.176Mbps 
图 2-23 多 路 复 用 


ITU-T 的 El 信道 的 数据 速率 是 2.048Mbps〈 如 图 2-24 所 示 )。 这 种 载波 把 32 个 8 位 一 组 
的 数据 样本 组 合成 125hs 的 基本 帧 ， 其 中 30 个 子 信道 用 于 话音 传送 数据 ， 两 个 子 信道 〈CHO 
和 CH16) 用 于 传送 控制 信 令 ， 每 4 帧 能 提供 64 个 控制 位 。 除 了 北美 和 亚洲 的 日 本 外 ，El 载 
波 在 其 他 地 区 得 到 了 广泛 使 用 。 


一 -一 | 8 位 “~ 一 一 
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图 2-24 El 帧 
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按照 ITU-T 的 多 路 复 用 标准 ，E2 载波 由 4 个 El 载波 组 成 ， 数 据 速率 为 8.448Mbps。E3 
载波 由 4 个 E2 载波 组 成 ， 数 据 速 率 为 34.368Mbps。E4 载波 由 4 个 E3 载波 组 成 ， 数 据 速率 为 
139.264Mbps。E5 载波 由 4 个 E4 载波 组 成 ， 数 据 速率 为 565.148Mbps。 
2.8.5 ”同步 数字 系列 

光纤 线路 的 多 路 复 用 标准 有 两 个 ， 美国 标准 叫 作 同 步 光纤 网 络 (Synchronous Optical 
Network, SONET); ITU-T 以 SONET 为 基础 制订 出 的 国际 标准 叫 作 同步 数字 系列 (Synchronous 
Digital Hierarchy，SDH)。SDH 的 基本 速率 是 155.52Mbps， 称 为 第 1 级 同步 传递 模块 
(Synchronous Transfer Module)， 即 STM-1， 相 当 于 SONET 体系 中 的 OC-3 速率 ， 如 表 2-5 
所 示 。 


表 2-5 SONET 多 路 复 用 的 速率 














i 链 路 速率 有 效 载荷 负载 常用 近似 

光纤 级 | STS 级 /Mbps /Mbps SDH 对 应 什 
oc-l STS-1 51.840 1.728 - 
OC:3 STS-3 155.520 5.184 STM-1 | 155Mbps 
oc-9 | SITS-9 466.560 15.552 STM-3 

oc-12 | SsTS-12 622.080 20.736 STM-4 “| 622Mbps 
oc-18 | SsIs-18 933.120 31.104 STM-6 

oc-24 | SITS-24 | 1244.160 41.472 STM-8 

OC-36 | SITS-36 | 1866.240 62.208 STM-13 

oc-48 | SIS-48 | 2488.320 82.944 SIM-16 | 2.5Gbps 
OC-96 | SITS-96 | 4976.640 165.888 STM-32 

Oc-192 | STS-192 | 9953280 331.776 STM-64 | 10Gbps 


2.9 ”差错 控制 


无 论 通信 系统 如 何 可 靠 ， 都 不 能 做 到 完美 无 缺 。 因 此 ， 必 须 考 虑 怎样 发 现 和 纠正 信号 传输 
中 的 差错 。 这 一 节 从 应 用 角度 介绍 差错 控制 的 基本 原理 和 方法 。 

通信 过 程 中 出 现 的 差错 可 大 致 分 为 两 类 : 一 类 是 由 热 噪 声 引起 的 随机 错误 ; 另 一 类 是 由 冲 
击 噪声 引起 的 突 发 错误 。 通 信 线 路 中 的 热 噪 声 是 由 电子 的 热 运动 产生 的 ， 香 农 关 于 噪声 信道 传 
输 速率 的 结论 就 是 针对 这 种 噪声 的 。 热 噪声 时 刻 存在 ， 具 有 很 宽 的 频谱 ， 且 幅度 较 小 。 通 信 线 
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路 的 信 噪 比 越 高 ， 热 噪声 引起 的 差错 越 少 。 这 种 差错 具有 随机 性 ， 影 响 个 别 位 。 

冲击 噪声 源 是 外 界 的 电磁 干 拢 ， 例 如 打雷 闪电 时 产生 的 电磁 干扰 ， 电 焊 机 引起 的 电压 波动 
等 。 神 击 噪声 持续 的 时 间 短 而 幅度 大 ， 往 往 引 起 一 个 位 串 出 错 。 根 据 它 的 特点 ， 称 其 为 突 发 性 
差错 。 

此 外 ， 由 于 信号 幅度 和 传播 速率 与 相位 、 频 率 有 关 而 引起 的 信号 失真 ， 以 及 相 邻 线路 之 问 
发 生 串 音 等 都 会 产生 差错 ， 这 些 差错 也 具有 突 发 性 的 特点 。 

突 发 性 差错 影响 局 部 ， 而 随机 性 差错 总 是 断 续 存在 ， 影 响 全 局 。 所 以 要 尽量 提高 通信 设备 
的 信 品 比 ， 以 满足 要 求 的 差错 率 。 此 外 ， 要 进一步 提高 传输 质量 ， 就 需要 采用 有 效 的 差错 控制 
办 法 。 这 一 节 介 绍 的 检 错 和 纠 错 码 只 是 可 靠 性 技术 中 的 一 种 ， 它 广泛 地 使 用 在 数据 通信 中 。 
2.9.1 检 错 码 


奇偶 校 验 是 最 常用 的 检 错 方法 ， 其 原理 是 在 7 位 的 ASCII 代码 后 增加 一 位 ， 使 码 字 中 1 的 
个 数 成 奇数 〈 奇 校 验 ) 或 偶数 〈 偶 校 验 )。 经 过 传输 后 ， 如 果 其 中 一 位 〈 甚 至 奇数 个 位 ) 出 错 ， 
则 接收 端 按 同样 的 规则 就 能 发 现 错误 。 这 种 方法 简单 实用 ， 但 只 能 对 付 少量 的 随机 性 错误 。 

为 了 能 检测 突 发 性 的 位 串 出 错 ， 可 以 使 用 校 验 和 的 方法 。 这 种 方法 把 数据 块 中 的 每 个 字 节 
当 作 一 个 二 进 制 整数 ， 在 发 送 过 程 中 按 模 256 相 加 。 数 据 块 发 送 完 后 ， 把 得 到 的 和 作为 校 验 字 
节 发 送出 去 。 接 收 端 在 接收 过 程 中 进行 同样 的 加 法 ， 数 据 块 加 完 后 用 自己 得 到 的 校 验 和 与 接收 
到 的 校 验 和 比较 ， 从 而 发 现 是 否 出 错 。 实 现时 可 以 用 更 简单 的 办 法 ， 例 如 在 校 验 字 节 发 送 前 ， 
对 累加 器 中 的 数 取 2 的 补 码 。 这 样 ， 如 果 不 出 错 ， 接 收 端 在 加 完整 个 数据 块 以 及 校 验 和 后 累加 
器 中 是 0。 这 种 方法 的 好 处 是 由 于 进位 的 关系 ， 一 个 错误 可 以 影响 到 更 高 的 位 ， 从 而 使 出 错 
位 对 校 验 字 节 的 影响 扩大 了 。 可 以 粗略 地 认为 ， 随 机 的 突 发 性 错误 对 校 验 和 的 影响 也 是 随机 
的 。 出 现 突 发 错误 而 得 到 正确 的 校 验 字 节 的 概率 是 /1256， 于 是 就 有 255 : 1 的 机 会 能 检查 出 任 
何 错误 。 


2.9.2 海 明 码 





1950 年 , 海 明 (Hamming) 研究 了 用 宛 余 数据 位 来 检测 和 纠正 代码 差错 的 理论 和 方法 。 按 
照 海 明 的 理论 ， 可 以 在 数据 代码 上 添加 若干 元 余 位 组 成 码 字 。 码 字 之 间 的 海 明 距 离 是 一 个 码 字 
要 变 成 另 一 个 码 字 时 必须 改变 的 最 小 位 数 。 例 如 ，7 位 ASCII 码 增加 一 位 奇偶 位 成 为 8 位 的 码 
字 ， 这 128 个 8 位 的 码 字 之 间 的 海 明 距离 是 2。 所 以 ， 当 其 中 一 位 出 错时 便 能 检测 出 来 。 两 位 
出 错时 就 变 成 另外 一 个 码 字 了 。 

海 明 用 数学 分 析 的 方法 说 明了 海 明 距离 的 几何 意义 ，n 位 的 码 字 可 以 用 n 维 空间 的 超 立方 
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体 的 一 个 顶点 来 表示 。 两 个 码 字 之 间 的 海 明 距离 就 是 超 立 方 体 的 两 个 对 应 顶点 之 间 的 一 条 边 ， 
而 且 这 是 两 项 点 (两 个 码 字 ) 之 间 的 最 短 距离 ， 出 错 的 位 数 小 于 这 个 距离 都 可 以 被 判断 为 就 
近 的 码 字 。 这 就 是 海 明 码 纠 错 的 原理 ， 它 用 码 位 的 增加 《因而 通信 量 增 加 ) 来 换取 正确 率 的 
提高 。 

按照 海 明 的 理论 , 纠 错 码 的 编码 就 是 要 把 所 有 合法 的 码 字 尽量 安排 在 维 超 立 方 体 的 顶点 
上 ， 使 得 任意 一 对 码 字 之 间 的 距离 尽 可 能 大 。 如 果 任 意 两 个 码 字 之 间 的 海 明 距离 是 94， 则 所 有 
小 于 等 于 4-1 位 的 错误 都 可 以 检查 出 来 ， 所 有 小 于 4/2 位 的 错误 都 可 以 纠正 。 一 个 自然 的 推论 
是 ， 对 于 某 种 长 度 的 错误 串 ， 要 纠正 它 就 要 用 比 仅 仅 检测 它 多 一 倍 的 元 余 位 。 

如 果 对 于 m 位 的 数据 增加 位 匈 余 位 ， 则 组 成 w=m+tk 位 的 纠 错 码 。 对 于 2 个 有 效 码 字 中 
的 每 一 个 ， 都 有 个 无 效 但 可 以 纠 错 的 码 字 。 这 些 可 纠 错 的 码 字 与 有 效 码 字 的 距离 是 1， 含 单 
个 错误 位 。 这 样 ， 对 于 一 个 有 效 的 消息 总 共有 n+l 个 可 识别 的 码 字 。 这 n+1 个 码 字 相对 于 其 他 
2"-1 个 有 效 消息 的 距离 都 大 于 1。 这 意味 着 总 共有 2” (m+1) 个 有 效 的 或 者 可 纠 错 的 码 字 。 显 然 ， 
这 个 数 应 小 于 等 于 码 字 的 所 有 可 能 的 个 数 ， 即 2"。 于 是 ， 有 


2"(n+1)<2" 
因为 n=m+tk， 得 出 
m+kt+1<2* 
对 于 给 定 的 数据 位 m， 上 式 给 出 了 的 下 界 ， 即 要 纠正 单个 宙 


错误 , 大 必 须 取 的 最 小 值 。 海 明 建议 了 一 种 方案 可 以 达到 这 个 下 界 ， 
并 能 直接 指出 错 在 哪 一 位 。 首 先 把 码 字 的 位 从 1 到 编号， 并 把 
这 个 编号 表示 成 二 进 制 数 ， 即 2 的 宕 之 和 。 然 后 对 2 的 每 一 个 宕 
设置 一 个 奇偶 位 。 例 如 ， 对 于 6 号 位 ， 由 于 6=110 (二 进 制 )， 所 数 
以 6 号 位 参加 第 2 位 和 第 4 位 的 奇偶 校 验 ， 而 不 参加 第 1 位 的 奇 “所 
偶 校 验 。 类 似 地 ，9 号 位 参加 第 1 位 和 第 8 位 的 校 验 而 不 参 。 ”位 
加 第 2 位 或 第 4 位 的 校 验 。 海 明 把 奇偶 校 验 分 配 在 1、2、4、8 
等 位 置 上 ， 其 他 位 放置 数据 。 下 面 根据 图 2-25 举例 说 明 编码 的 
方法 。 

假设 传送 的 信息 为 1001011， 把 各 个 数据 放 在 3、5、6、7、 图 2-25 海 明 编码 的 例子 
9、10、11 等 位 置 上 ，1、2、4、8 位 留 作 校 验 位 。 


Lo To 
1 2 3 4 5 6 7 8 9 10 11 


根据 图 2-25，3、5、7、9、11 的 二 进 制 编码 的 第 一 位 为 1， 所 以 3、5、7、9、11 号 位 参 


8 
0 
0 
0 
0 
1 
1 
1 


oo 0 -ols 
rm o-oo -|- 
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加 第 1 位 校 验 ， 若 按 偶 校 验 计算 ，1 号 位 应 为 1。 


[a Tel olelil Telwl sl] 
和 








类 似 地 ，3、6、7、10、11 号 位 参加 2 位 校 验 ，5、6、7 号 位 参加 4 位 校 验 ，9、10 和 11 
号 位 参加 8 位 校 验 ， 全 部 按 偶 校 验 计算 ， 最 终 得 到 : 
1 0 1 0 0 1 0 0 本 1 
1 有 3 4 5 6 7 8 9 10 11 








如 果 这 个 码 字 传输 中 出 错 ， 比 如 说 6 号 位 出 错 ， 即 变 成 : 
yy x 区 y 
[| 
0 


当 接 收 端 按照 同样 的 规则 计算 奇偶 位 时 ， 发 现 1 和 8 号 位 的 奇偶 性 正确 ，2 和 4 号 位 的 奇 
偶 性 不 对 ， 于 是 2+4= 6， 立 即 可 确认 错 在 6 号 位 。 

在 上 例 中 ,本 4， 因 而 m<2 生 4 一 二 11， 即 数据 位 可 用 到 11 位 ， 共 组 成 15 位 的 码 字 ， 可 检 
测 出 单个 位 的 错误 。 


2.9.3 ”循环 元 余 校 验 码 


所 谓 循环 码 是 这 样 一 组 代码 ， 其 中 任 一 有 效 码 字 经 过 循环 移 位 后 得 到 的 码 字 仍然 是 有 效 
码 字 ， 不 论 是 右 移 或 左 移 ， 也 不 论 移 多 少 位 。 例 如 ， 若 (aana…aiao) 是 有 效 码 字 ， 则 (an 
an3…ao an1)， (an3 an4…an1 an2) 等 都 是 有 效 码 字 。 循 环 兄 余 校 验 码 (Cyclic Redundancy 
Check，CRC) 是 一 种 循环 码 ， 它 有 很 强 的 检 错 能 力 ， 而 且 容易 用 硬件 实现 ， 在 局 域 网 中 有 广 
泛 应 用 。 

首先 介绍 CRC 怎样 实现 ， 然 后 对 它 进行 一 些 数学 分 析 ， 最 后 说 明 CRC 的 检 错 能 力 。CRC 
可 以 用 图 2-26 所 示 的 移 位 寄存 器 实现 。 移 位 寄存 器 由 大 位 组 成 , 还 有 几 个 异 或 门 和 一 条 反馈 回 
路 。 图 2-26 所 示 的 移 位 寄存 器 可 以 按 CCITT-CRC 标准 生成 16 位 的 校 验 和 。 寄 存 器 被 初始 化 
为 0， 数 据 从 右 向 左 逐 位 输入 。 当 一 位 从 最 左边 移出 寄存 器 时 就 通过 反馈 回路 进入 异 或 门 和 后 
续 进 来 的 位 以 及 左 移 的 位 进行 异 或 运算 。 当 所 有 m 位 数据 从 右边 输入 完 后 再 输入 个 0 (本 例 
中 寻 16)。 最 后 ， 当 这 一 过 程 结 束 时 ， 移 位 寄存 器 中 就 形成 了 校 验 和 。 磊 位 的 校 验 和 跟 在 数据 位 
后 边 发 送 ， 接 收 端 可 以 按 同 样 的 过 程 计算 校 验 和 并 与 接收 到 的 校 验 和 比较 ， 以 检测 传输 中 的 
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差错 。 
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图 2-26 CRC 的 实现 
以 上 描述 的 计算 校 验 和 方法 可 以 用 一 种 特殊 的 多 项 式 除法 进行 分 析 。m 个 数据 位 可 以 看 作 
m-l1 阶 多 项 式 的 系数 。 例 如 ， 数 据 码 字 00101011 可 以 组 成 的 多 项 式 是 xsHe+x+l。 图 2-26 中 表 
示 的 反馈 回路 可 表示 成 另外 一 个 多 项 式 zastx24+x5+1， 这 就 是 所 谓 的 生成 多 项 式 。 所 有 的 运算 都 
按 模 2 进行 ， 即 
lx°+1x"=0x", Ox’+1x=], 1x°+0x"=]x",，Ox’+0x"=0x"，—lx"=]x" 
显然 ， 在 这 种 代数 系统 中 ， 加 法 和 减法 一 样 ， 都 是 异 或 运算 。 用 x 乘 一 个 多 项 式 等 于 把 多 
项 式 的 系数 左 移 一 位 。 可 以 看 出 , 按 图 2-26 的 反馈 回路 把 一 个 向 左 移出 寄存 器 的 数据 位 反馈 回 
去 与 寄存 器 中 的 数据 进行 异 或 运算 ， 等 同 于 在 数据 多 项 式 上 加 上 生成 多 项 式 ， 因 而 也 等 同 于 从 
数据 多 项 式 中 减 去 生成 多 项 式 。 以 上 给 出 的 例子 ， 对 应 于 下 面 的 长 除法 : 
0010 1011 0000 0000 0000 0000 
— 10 0010 0000 0100 001 
00 1001 0000 0100 0010 0000 
四 1000 1000 0001 0000 1 
0001 1000 0101 0010 1000 
四 1 0001 0000 0010 0001 
0 1001 0101 0000 1001 (余数 ) 
得 到 的 校 验 和 是 9509H。 于 是 看 到 , 移 位 寄存 器 中 的 过 程 和 以 上 长 除法 在 原理 上 是 相同 的 ， 
因而 可 以 用 多 项 式 理 论 来 分 析 CRC 代码 ， 这 就 使 得 这 种 检 错 码 有 了 严格 的 数学 基础 。 
把 数据 码 字形 成 的 多 项 式 叫 数据 多 项 式 D(x), 按照 一 定 的 要 求 可 给 出 生成 多 项 式 G(x)。 用 
GO) 除 过 DO 可 得 到 商 多 项 式 Co 和 余 多 项 式 RC)， 实 际 传送 的 码 字 多 项 式 是 
FeD= 达 DO)+ RGD 
由 于 使 用 了 模 2 算术 ，+RG)= RD， 于 是 接收 端 对 F(x) 计算 的 校 验 和 应 为 0。 如 果 有 差错 ， 
则 接收 到 的 码 字 多 项 式 包含 某 些 出 错位 EE， 可 表示 成 
H(x)= F(x)+ E(xY) 
由 于 Fo 可 以 被 G(x) 整 除 ， 如 果 H(x) 不 能 被 G(x) 整 除 ， 则 说 明 E(x) 取 0， 即 有 错误 出 现 。 
然而 ， 若 E(x) 也 能 被 G(x) 整 除 ， 则 有 差错 而 检测 不 到 。 
数学 分 析 表 明 ，G(x) 应 该 有 某 些 简单 的 特性 ， 才 能 检测 出 各 种 错误 。 例 如 ， 若 G(x) 包 含 的 
项 数 大 于 1， 则 可 以 检测 单个 错 ; 若 GO 含有 因子 x+t1， 则 可 检测 出 所 有 奇数 个 错 。 最 后 得 出 
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的 最 重要 的 结论 是 ， 具 有 7 个 校 验 位 的 多 项 式 能 检测 出 所 有 长 度 小 于 等 于 x 的 突 发 性 差错 。 
为 了 能 对 不 同 场合 下 的 各 种 错误 模式 进行 校 验 ， 已 经 研究 出 了 几 种 CRC 生成 多 项 式 的 国际 
标准 。 
CRC-CCITT  GGD)=x156Hx2 +Hx5+l 


CRC-16 GOD)=xr15+xr5 +x+l 
CRC-12 GQ)=x tx tx tx txtl 
CRC-32 Gx tx tx tx tx tx tx trl tx tx tx tx ttx txtl 


其 中 ，CRC-32 被 用 在 许多 局 域 网 中 。 


第 3 章 广 域 通信 和 网 加 


广域网 是 通信 公司 建立 和 运营 的 网 络 ， 覆 盖 的 地 理 范围 大 ， 可 以 跨越 国界 ， 到 达 世 界 上 任 
何 地 方 。 通 信 公 司 把 它 的 网 络 分 次 〈 拨 号 线路 ) 或 分 块 〈 租 用 专线 ) 地 出 租 给 用 户 以 收取 服务 
费用 。 计 算 机 连 网 时 ， 如 果 距 离 遥远 ， 需 要 通过 广域网 进行 转 接 。 最 早出 现 的 也 是 普及 面 最 广 
的 通信 网 是 公共 交换 电话 网 ， 后 来 出 现 了 各 种 公用 数据 网 。 这 些 网 络 在 因特网 中 都 起 着 重要 作 
用 ， 本 章 主 要 讲述 的 是 广域网 技术 。 


3.1 公共 交换 电话 网 


公共 交换 电话 网 (Public Switched Telephone Network，PSTN) 是 为 了 话音 通信 而 建立 的 网 
络 ， 从 20 世纪 60 年 代 开 始 又 被 用 于 数据 传输 。 虽 然 各 种 专用 的 计算 机 网 络 和 公用 数据 网 已 经 
迅速 发 展 起 来 ， 能 够 提供 更 好 的 服务 质量 和 更 多 样 的 通信 业务 ， 但 是 PSTN 的 覆盖 面 更 广 ， 联 
网 费用 更 低 ， 因 而 在 有 些 地 方 用 户 仍然 通过 电话 线 拨 号 上 网 。 


3.1.1 电话 系统 的 结构 


电话 系统 是 一 个 高 度 见 余 的 分 级 网 络 。 图 3-1 所 示 为 一 个 简化 了 的 电话 网 。 用 户 电话 通过 
一 对 铜 线 连接 到 最 近 的 端 局 ， 这 个 距离 通常 是 1 一 10km， 并 且 只 能 传送 模拟 信号 。 虽 然 电 话 局 
间 干 线 是 传输 数字 信号 的 光纤 ， 但 是 在 用 电话 线 连 网 时 需要 在 发 送 端 把 数字 信号 变换 为 模拟 信 
号 ， 在 接收 端 再 把 模拟 信号 变换 为 数字 信号 。 由 电话 公司 提供 的 公共 载体 典型 的 带宽 是 4000 Hz， 
称 其 为 话音 信道 。 这 种 信道 的 电气 特性 并 不 完全 适合 数据 通信 的 要 求 ， 在 线路 质量 太 差 时 还 需 
采取 一 定 的 均衡 措施 ， 方 能 减 小 传输 过 程 中 的 失真 。 
端 局 。 长 途 局 。 中 继 局 “长途 局 。” 端 局 














用 户 回路 ”长途 干线 。 局 间 高 速 干线 长途 干 线 用 户 回路 























图 3-1 电话 系统 示意 图 


公用 电话 网 由 本 地 网 和 长 途 网 组 成 ， 本 地 网 覆盖 市 内 电话 、 市 郊 电话 以 及 周围 城镇 和 农村 
的 电话 用 户 , 形成 属于 同一 长 途 区 号 的 局 部 公共 网 络 。 长途 网 提供 各 个 本 地 网 之 间 的 长 话 业务 ， 
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包括 国际 和 国内 的 长 途 电话 服务 。 我 国 的 固定 电话 网 采用 4 级 汇 接 辐射 式 结构 。 最 高 一 级 有 8 
个 大 区 中 心 局 ， 包 括 北 京 、 上 海 、 广 州 、 南 京 、 沈 阳 、 西 安 、 武 汉 和 成 都 。 这 些 中 心 局 互相 连 
接 ， 形 成 网 状 结构 。 第 二 级 共有 22 个 省 中 心 局 ， 包 括 各 个 省 会 城市 。 第 三 级 共有 300 多 个 地 区 中 
心 局 。 第 四 级 是 县 中 心 局 。 大 区 中 心 局 之 间 都 有 直达 线路 ， 以 下 各 级 汇 接 至 上 一 级 中 心 局 ， 并 
辅助 一 定数 量 的 直达 线路 ， 形 成 如 图 3-2 所 示 的 4 级 汇 接 辐 射 式 长 话 网 。 














图 3-2 4 级 汇 接 辐 射 式 长 话 结构 示意 图 


3.1.2 ”本 地 回路 


用 户 把 计算 机 连接 到 电话 网 上 就 可 以 进行 通信 。 按 照 CCITT 的 术语 ， 用户 计算 机 叫 作 数据 
终端 设备 〈Data Terminal Equipment，DIE)， 因 为 这 种 设备 代表 通信 链 路 的 端点 。 在 通信 网 络 
一 边 ， 有 一 个 设备 用 于 管理 网 络 的 接口 ， 这 个 设备 叫 数据 电路 设备 (Data Circuit Equipment， 
DCE)。DCE 通常 指 调制 解 调 器 、 数 传 机 、 基 带 传输 器 、 信 和 号 变换 器 、 自 动 呼叫 和 应 答 设备 等 。 
它们 提供 波形 变换 和 编码 功能 ， 以 及 建立 、 维 持 和 释放 连接 的 功能 。 物 理 层 协议 与 设备 之 间 
(DTE/DCE) 的 物理 接口 以 及 传送 位 的 规则 有 关 。 物 理 介 质 的 各 种 机 械 的 、 电 磁 的 特性 由 物理 
层 和 物理 介质 之 间 的 界线 确定 。 实 际 设备 和 OSI 概念 之 间 的 关系 如 图 3-3 所 示 。 


[oaen| 人 办 线路 _vioacn | 绊 吕 电 统 [ 岳 
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(a) 实际 设备 
端 系统 物理 层 中 继 系 统 物理 层 中 继 系统 物理 层 端 系统 


多 局- [的 理 导 -过 区 -| 雹 于 局- 包 六 -区 于 


物理 介质 物理 介质 物理 介质 






































(b) OSI 逻辑 表示 
图 3-3 ”实际 设备 和 OSI 逻辑 表示 之 间 的 关系 
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图 3-3 (a) 中 的 传输 线路 可 以 是 公共 交换 网 或 专用 线 。 在 通信 线路 采用 公共 交换 网 的 情况 
下 ， 正 式 进行 数据 传输 之 前 ，DTE 和 DCE 之 间 先 要 交换 一 些 控制 信号 以 建立 数据 通路 〈 即 逻辑 
连接 ); 在 数据 传输 完成 后 ， 还 要 交换 控制 信号 断 开 数据 通路 。 交 换 控 制 信号 的 过 程 就 是 所 谓 
的 “握手 ”过 程 ， 这 个 过 程 和 DTE/DCE 之 间 的 接 插 方式 、 引 线 分 配 、 电 气 特性 和 应 答 信号 和 
有 关 。 在 数据 传输 过 程 中 ，DTE 和 DCE 之 间 要 以 一 定 的 速率 和 同步 方式 识别 每 一 个 信号 元 素 (1 
或 0)。 对 于 这 些 与 设备 之 间 通 信 有 关 的 技术 细节 ，CCITT 和 ISO 用 4 个 技术 特性 来 描述 ， 并 给 出 
了 适应 不 同情 况 的 各 种 标准 和 规范 。 这 4 个 技术 特性 是 机 械 特性 、 电 气 特性 、 功 能 特性 和 过 程 
特性 。 下 面 以 EIA (Electronic Industries Association) 制定 的 RS-232-C 接口 为 例 说 明 这 4 个 技 
术 特 性 。 


1， 机 械 特性 


机 械 特性 描述 DTE 和 DCE 之 间 物 理 上 的 分 界线 ， 规 定 连 接 器 的 几何 形状 、 尺 寸 大 小 、 引 
线 数 、 引 线 排列 方式 以 及 锁定 装置 等 。RS-232-C 没有 正式 规定 连接 器 
的 标准 ， 只 是 在 其 附录 中 建议 使 用 25 针 的 DD 型 连接 器 (如 图 3-4 所 
示 )。 当 然 ， 也 有 很 多 RS-232-C 设备 使 用 其 他 形式 的 连接 器 ， 特 别 是 
在 微型 机 的 RS-232-C 串 行 接口 上 大 多 使 用 9 针 连 接 器 。 





2. 电气 特性 图 3-4 D 型 连接 器 


DTE 与 DCE 之 问 有 多 条 信号 线 ， 除 了 地 线 之 外 ， 每 根 信号 线 都 有 其 驱动 器 和 接收 器 。 电 
气 特性 规定 这 些 信号 的 连接 方式 以 及 驱动 器 和 接收 器 的 电气 参数 ， 并 给 出 有 关 互 连 电缆 方面 的 
技术 指导 。 

图 3-5 (a) 给 出 了 RS-232-C 采用 的 V28 标准 电路 。V28 的 驱动 器 是 单 端 信号 源 ， 所 有 信 
号 共用 一 根 公 共 地 线 。 信 和 号 源 产 生 3 一 15 V 的 信号 ， 正 负 3V 之 间 是 信号 电 平 过 渡 区 ， 如 图 3-6 所 
示 。 当 接口 点 的 电 平 处 于 过 渡 区 时 ， 信 号 的 状态 是 不 确定 的 ， 当 接口 点 的 电 平 处 于 正 负 信号 区 
间 时 ， 对 于 不 同 的 信号 线 代 表 的 意义 不 一 样 ， 如 表 3-1 所 示 。 

六 到 器 一 |- 互 连 电缆 -一 负载 -| A WE 负载 一 | 


全 


(a) V28 (b) V11 
图 3-5 CCITT 建议 的 接口 电路 
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+15V 
+3V 
_3V a ee 表 3-1 接口 电 平 的 含义 
a 类 型 +3~+15V 
负 信 号 区 间 
0 数据 线 0 





控制 线 和 定时 线 
图 3-6 接口 电路 的 信号 区 间 一 


另外 两 种 常用 的 电气 特性 标准 是 V10 和 V11。V11 是 一 种 平衡 接口 , 每 个 接口 电路 都 用 一 对 
平衡 电缆 构成 各 自 的 信号 回路 (如 图 3-5 (b) 所 示 )。 这 种 连接 方式 减 小 了 信号 线 之 间 的 申 音 。V.10 
的 发 送 端 是 非 平衡 输出 ， 接 收 端 则 是 平衡 输入 ， 用 于 以 上 两 种 电路 之 间 的 转 接 。 


3. 功能 特性 





功能 特性 对 接口 连 线 的 功能 给 出 确切 的 定义 。 从 大 的 方面 ， 接 口 线 的 功能 可 分 为 数据 线 、 
控制 线 、 定 时 线 和 地 线 。 有 的 接口 可 能 需要 两 个 信道 ， 因 而 接口 线 又 可 分 为 主 信道 线 和 辅助 信 

RS-232-C 采用 的 标准 是 V24。V24 为 DTE/DCE 接口 定义 了 44 条 连 线 , 为 DTE/ACE 定义 了 
12 条 连 线 。ACE 为 自动 呼叫 设备 ， 有 时 和 Modem 做 在 一 起 。 按 照 V24 的 命名 方法 ，DTE/DCE 连 
线 用 “1” 开头 的 三 位 数字 命名 , 例如 103、115 等 , 称 为 100 系列 接口 线 。 DTE/ACE 连 线 用 “2” 
开头 的 三 位 数字 命名 ， 例 如 201、202 等 ， 称 为 200 系列 接口 线 。 

RS-232-C 定义 了 21 根 接口 连 线 的 功能 ， 按 照 RS-232-C 的 术语 ， 接 口 连 线 叫 作 互 换 电路 。 
表 3-2 给 出 了 RS-232-C 互 换 电 路 的 功能 定义 ， 同 时 列 出 了 V24 对 应 的 线 号 。 表 中 对 每 一 条 互 换 电 
路 的 功能 进行 了 简要 的 描述 ， 也 说 明了 电路 的 信号 方向 。 关 于 这 些 互 换 电路 的 使 用 方法 则 属于 
下 面 要 讨论 的 过 程 特性 。 


表 3-2 RS-232-C 的 互 换 电 路 功能 





管 |RS-232-C| V24 





DIE|DCE|DIE |pc lpre pcE pre 
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续 表 
管 |RS-232-C| V24 控制 定时 测试 
脚 | 电路 DCE|DTE|pcE|pTE|pcE 
4 CA 5 请 求 发 送 
5 CB 允许 发 送 x 
6 CE 数 传 机 就 绪 涛 
0| €D 数据 终端 就 绪 
22| €E 振 铃 指示 x 
8 CF tt 
中 | 66 
2 ©€H x 
23 ct 
24| DA 发 这 耻 同 元 定时 (DTE) x 
15| DB 发 送 器 码 元 定时 (DCE) 泡 
17| .De 接收 器 码 元 定时 (DCE) 汉 
14| SBA 辅助 信道 发 送 数 据 
16 | SBB 辅助 信道 接收 数据 
19 | SCA 辅助 信道 请 求 发 送 x 
13 | SCB 辅助 信道 准备 发 送 
12 | SCF 人 号 检测 
8 | | 保留 电路 , 用 J 测试 | | | | x 
E | | 保留 电路 , 用 J 测试 | | | | x 
18| GD lasa25 Cu) | | | | x 
a5| mw lasasD)] ca | | | | x 


图 3-7 所 示 为 计算 机 异步 终端 设备 ) 和 异步 Modem 连接 的 方法 ， 这 里 只 需要 9 根 连 线 ， 
保护 接地 和 信号 地 线 只 用 一 根 连 线 同 时 接 在 1 和 7 两 个 管 脚 上 。 


4. 过程 特 性 


物理 层 接口 的 过 程 特性 规定 了 使 用 接口 线 实现 数据 传输 的 操作 过 程 ,这 些 操作 过 程 可 能 涉 
及 高 层 的 功能 ， 因 而 对 于 物理 层 操作 过 程 和 高 层 功能 过 程 之 间 的 划分 是 有 争议 的 。 另 一 方面 ， 
对 于 不 同 的 网 络 、 不 同 的 通信 设备 、 不 同 的 通信 方式 、 不 同 的 应 用 ， 各 有 不 同 的 操作 过 程 。 下 
面 举 例 说 明 利用 RS-232-C 进行 异步 通信 的 操作 过 程 。 

RS-232-C 控制 信号 之 间 的 相互 关系 是 根据 互 连 设备 的 操作 特性 随时 间 而 变化 的 。 图 3-8 给 
出 了 计算 机 端口 和 Modem 之 间 控 制 信号 的 定时 关系 。 假定 Modem 打开 电源 后 升 起 DSR 信号 ， 
随后 从 线路 上 传 来 两 次 振 铃 信号 RI, 计算 机 在 响应 第 一 次 振 铃 信号 后 升 起 它 的 数据 终端 就 绪 信 
号 DTR。DTR 信 号 和 第 二 次 振 铃 信号 RI 配合 ,使 得 Modem 回答 呼叫 并 升 起 载波 检测 信号 DCD。 
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如 果 计 算 机 中 的 进程 需要 发 送信 息 , 就 会 升 起 请 求 发 送信 号 RTS, Modem 通过 升 起 允许 发 送信 
号 CTS 予以 响应 ， 之 后 计算 机 端口 就 可 以 开始 传送 数据 。 
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图 3-7 异步 通信 时 DTE/DCE 的 连接 

















图 3-8 异步 通信 时 控制 信号 的 定时 关系 
3.1.3 “调制解调器 


调制 解 调 器 (Modulation and Demodulation，Modem) 通常 由 电源 、 发 送 电 路 和 接收 电路 
组 成 。 电 源 提供 Modem 工作 所 需要 的 电压 ; 发 送 电路 中 包括 调制 器 、 放 大 器 ， 以 及 滤波 、 整 形 和 
信和 号 控制 电路 ， 它 的 功能 是 把 计算 机 产生 的 数字 脉冲 转换 为 已 调制 的 模拟 信号 ; 接收 电路 包括 
解 调 器 以 及 有 关 的 电路 , 它 的 作用 是 把 模拟 信号 变 成 计算 机 能 接收 的 数字 脉冲 。Modem 的 组 成 
原理 如 图 3-9 所 示 ， 图 中 上 半 部 分 是 发 送 电路 ， 下 半 部 分 是 接收 电路 ， 图 中 的 虚线 框 用 在 同步 
Modem 中 。 

现代 的 高 速 Modem 采用 格 码 调制 (Trellis Coded Modulation，TCM) 技术 。 这 种 技术 在 编 
码 过 程 中 插入 一 个 匈 余 位 进行 纠 错 ， 从 而 减 小 了 误 码 率 。 按 照 CCITT 的 V32 建议 ， 调 制 器 的 
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输入 数据 流 被 分 成 4 位 的 位 组 ，4 位 组 经 过 卷 积 编码 产生 了 第 5 个 元 余 校 验 位 。 包 括 元 余 位 的 
5 位 组 在 复 平面 上 的 分 布 表示 在 图 3-10 的 星座 图 中 ， 每 个 码 点 最 左边 的 位 是 元 余 位 。 
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图 3-9 Modem 设备 的 组 成 原理 框图 
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图 3-10 V32 格 码 调制 的 星座 图 
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接收 Modem 检测 这 种 格 码 调制 信号 时 使 用 维特 比 (Viturbi) 译 码 器 ， 这 种 译 码 器 不 像 通 常 
的 “ 硬 比特 ”检测 器 那样 一 位 一 位 地 进行 判断 ， 而 是 对 多 达 32 位 的 一 组 位 进行 比较 ， 判 断 出 每 一 
位 的 正确 值 。 做 出 判断 的 过 程 是 按照 形似 网 格 的 决策 树 进行 的 ， 因 而 这 种 调制 技术 叫 网 格 编码 
调制 ,简称 格 码 调制 。 使 用 格 码 调制 技术 的 V32Modem 可 以 在 公共 交换 网 上 实现 9600bps 的 高 速 
传输 。 

进一步 提高 传输 速度 还 可 以 在 其 他 技术 方面 寻求 解决 办 法 ,例如 采用 数据 压缩 技术 。 有 一 
种 V.29 Modem， 虽 然 工 作 在 9600 bps， 但 是 由 于 使 用 的 数据 压缩 算法 可 达到 2:1 的 压缩 比 ， 所 
以 数据 发 送 速率 理论 上 可 达到 19 200 bps。 

另外 一 种 高 速 Modem 采用 了 高 速 微 处 理 器 和 大 约 70 000 行 指令 ， 由 于 采用 多 个 音频 组 成 
的 载波 群 对 数据 进行 分 组 传输 ， 因 而 叫 作 分 组 集群 式 Modem。 这 种 Modem 的 工作 过 程 是 这 样 
的 : 首先 原 发 方 Modem 同时 发 送 512 个 音频 载波 信号 ,接收 Modem 对 收 到 的 所 有 载波 信号 进 
行 评价 ， 向 原 发 Modem 报告 哪些 频率 可 用 ， 哪 些 频率 不 能 使 用 。 然 后 原 发 方 Modem 根据 侦察 
到 的 线路 情况 确定 最 适合 的 调制 方式 ， 可 能 是 2 位 、4 位 或 6 位 的 QAM 信号 。 例 如 ， 若 400 
个 音频 载波 可 用 ， 调 制 方案 为 6 位 QAM， 则 400X 6=2 400， 即 可 同时 传送 2400 位 。 如 果 每 种 
载波 都 是 一 秒 钟 变化 4 次 ， 则 可 得 到 约 10 000bps 的 数据 速率 。 

1996 年 出 现 了 56kbps 的 Modem， 并 于 1998 年 形成 了 ITU 的 V90 建议 。 这 种 Modem 采 
用 非 对 称 的 工作 方式 ， 从 客户 端 向 服务 器 端 发 送 称 为 上 行 信道 ， 其 数据 速率 为 28.8kbps 或 
33.6kbps; 从 服务 器 端 向 客户 端 发 送 称 为 下 行 信道 ， 其 数据 速率 可 以 达到 56kbps。 其 之 所 以 采 
用 非 对 称 的 工作 方式 , 是 因为 客户 端 发 送 数据 时 要 采用 模 数 转换 , 会 出 现 量 化 噪声 , 使 得 Modem 
的 数据 速率 受到 限制 。ISP 一 端的 服务 器 采用 数字 干线 连接 ， 无 须 模 数 转换 ， 不 会 出 现 量 化 噪 
声 ， 因 而 可 以 用 到 PCM 编码 调制 的 最 高 数据 速率 56kbps。 这 种 技术 的 出 现 适应 了 通过 电话 线 
实现 准 高 速 连接 Intemet 的 需求 ， 成 为 因特网 用 户 首选 的 连 网 技术 。 


3.2 X.25 公共 数据 网 


公共 数据 网 是 在 一 个 国家 或 全 世界 范围 内 提供 公共 电信 服务 的 数据 通信 网 .CCITT 于 1974 
年 提出 了 访问 分 组 交换 网 的 协议 标准 ， 即 X.25 建议 ， 后 来 又 进行 了 多 次 修订 。 这 个 标准 分 为 3 
个 协议 层 ， 即 物理 层 、 链 路 层 和 分 组 层 ， 分 别 对 应 于 ISO/OSI 参考 模型 的 低 三 层 。 

物理 层 规定 用 户 终 端 与 网 络 之 间 的 物理 接口 ， 这 一 层 协议 采用 X.21 或 X.21bis 建议 。 链 路 
层 提 供 可 靠 的 数据 传输 功能 ， 这 一 层 的 标准 叫 作 LAP-B (Link Access Procedure-Balanced)， 它 
是 HDLC 的 子 集 。 分 组 层 提供 外 部 虚 电 路 服务 , 这 一 层 协 议 是 和 .25 建议 的 核心 , 特别 称 为 X.25 
PLP 协议 〈Packet Layer Protocol)。 图 3-11 给 出 了 这 三 层 之 间 的 关系 。 
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图 3-11 XX.25 的 分 层 结构 
3.2.1 流量 控制 和 差错 控制 


流量 控制 是 一 种 协调 发 送 站 和 接收 站 工作 步调 的 技术 ， 其 目的 是 避免 由 于 发 送 速度 过 快 ， 
使 得 接收 站 来 不 及 处 理 而 丢失 数据 。 通 常 ， 接 收 站 有 一 定 大 小 的 接收 缓冲 区 ， 当 接收 到 的 数据 
进入 缓冲 区 后 ， 接 收 器 要 进行 简单 的 处 理 ， 然 后 才能 清除 缓冲 区 ， 再 开始 接收 下 一 批 数据 。 如 
果 发 送 得 过 快 ， 缓 冲 区 就 会 溢出 ， 从 而 引起 数据 的 丢失 。 通 过 流 控 机 制 可 以 避免 这 种 情况 的 发 生 。 

首先 讨论 没有 传输 错误 的 流 控 技术 ， 即 传输 过 程 中 不 会 丢失 帧 ， 接 收 到 的 帧 都 是 正确 的 ， 
无 须 重 传 ， 并 且 所 有 发 出 的 帧 都 能 按 顺 序 到 达 接收 端 。 


1， 停 等 协议 


最 简单 的 流 控 协 议 是 停 等 协议 。 它 的 工作 原理 是 : 发 送 站 发 出 一 帧 ， 然 后 等 待 应 答 信号 到 
达 后 再 发 送 下 一 帧 ， 接 收 站 每 收 到 一 帧 后 送 回 一 个 应 答 信 号 〈ACK)， 表 示 愿 意 接收 下 一 帧 ， 
如 果 接 收 站 不 送 回应 答 ， 则 发 送 站 必须 等 待 。 这 样 ， 在 源 和 目标 之 间 的 数据 流动 是 由 接收 站 控 
制 的 。 

假设 在 半 双 工 的 点 对 点 链 路 上 ，Si 站 向 Sz 站 发 送 数据 帧 ，S; 每 发 出 一 个 帧 就 等 待 S: 送 回 
应 答 信号 。 根 据 图 3-12 所 示 ， 发 送 一 帧 的 时 间 为 

TEA=2 t+ 
其 中 ， 尹 为 传播 延迟 ， 力 为 发 送 一 帧 的 时 间 〈 称 为 一 帧 时 )。 











图 3-12 停 等 协议 的 效率 
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于 是 线路 的 利用 率 为 
匡 = 二 学 GD 
2t,+ty 
定义 呈 刀 /加 则 
-1 (3.2) 
2a+1 


这 是 在 停 等 协议 下 线路 的 最 高 利用 率 ， 也 可 以 认为 是 停 等 协议 的 效率 。 事 实 上 ， 数 据 帧 中 
还 包含 一 些 控制 信息 ， 例 如 地 址 信息 及 校 验 和 等 ， 再 加 上 已 忽略 了 的 某 些 时 间 开 销 ， 因 而 实际 
的 线路 利用 率 更 低 。 

为 了 更 深入 地 理解 式 (3.2) 的 含义 ， 对 a 进行 一 些 分 析 。 由 于 a 是 线路 传播 延迟 和 一 个 帧 
时 的 比 ， 故 在 线路 长 度 和 帧 长 固定 的 情况 下 a 是 一 个 常数 。 又 由 于 线路 传播 延迟 是 线路 长 度 4 
和 信号 传播 速度 v 的 比值 ， 而 一 帧 时 是 帧 长 工 和 数据 速率 尺 的 比 ， 因 而 有 


d/lv_ Rd/lv 
A (3:3) 


式 (3.3) 的 分 子 Rahv 的 单位 为 位 ， 其 物理 意义 是 线路 上 能 容纳 的 最 大 位 数 ， 即 线路 的 位 
长 度 ， 它 是 由 线路 的 物理 特性 决定 的 。 因 而 ，a 可 理解 为 线路 位 长 和 帧 长 的 比 ， 或 者 说 线路 的 
帧 计数 长 度 。 

考虑 下 面 的 例子 。 通 常 卫星 信道 的 传播 延迟 是 270ms， 假 设 数据 速率 是 64kbps， 帧 长 是 
4000 位 。 对 于 卫星 链 路 可 得 





a=64 X 270/4000=4.32>1 
根据 式 〈3.2)， 卫 星 链 路 的 利用 率 为 


ee SE 
E771 2X43271 0 


可 见 卫星 链 路 的 利用 率 仅 为 10 左右 ， 大 量 的 时 间 用 在 等 待 应 答 信号 上 了 。 

按照 最 新 的 传输 技术 , 传送 一 帧 的 时 间 会 降 到 6ms, 甚至 12Shs。 这 样 a 的 值 将 是 45 一 2160， 
在 应 用 停 等 协议 的 情况 下 ， 链 路 的 利用 率 可 能 只 有 0.0002。 

另外 一 个 例子 是 局 域 网 ， 线 路 长 度 4 一 般 为 0.1 一 10km， 传 播 速度 200nyhs。 设 数据 速 
率 R=10Mbps， 帧 长 天 500 位 ， 则 a 的 取 值 范围 为 10 一 1。 如 果 取 a=0.1， 则 链 路 的 利用 率 为 
0.83; 如 果 取 a=0.01， 则 链 路 的 利用 率 为 0.98。 可 见 ， 在 局 域 网 上 利用 简单 的 停 等 协议 时 效率 
要 高 得 多 。 


2. 滑动 窗口 协议 
滑动 窗口 协议 的 主要 思想 是 允许 连续 发 送 多 个 帧 而 无 须 等 待 应答 。 如 图 3-13 所 示 ， 假 设 站 
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S1 和 S, 通 过 全 双 工 链 路 连接 ，S;, 维持 能 容纳 6 个 帧 的 缓冲 区 (Ww=6)。 这 样 ，Si 就 可 以 连续 
发 送 6 个 帧 而 不 必 等 待 应答 信 号 (到 a=6)。 为 了 使 S 能 够 表示 哪些 帧 已 被 成 功 地 接收 ， 每 个 帧 
都 给 予 一 个 顺序 编号 。 如 果 帧 编号 字段 为 位 ， 则 帧 以 2 为 模 连 续 编号 。S。 发 出 一 个 应 答 信号 
ACKi， 并 把 窗口 滑动 到 i~~Witl 的 位 置 ， 表 明 i 之 前 的 帧 已 正确 接收 ， 期 望 接收 后 续 的 下 个 
帧 。 由 于 随 着 数据 传送 过 程 的 进展 窗口 向 前 滑动 ， 因 而 取 名 为 滑动 窗口 协议 。 





Si 


67012… 
图 3-13 滑动 窗口 协议 的 效率 
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现在 考查 窗口 大 小 (WW) 对 协议 效率 的 影响 。 按 照 图 3-13， 假 设 S: 向 S$, 发 出 0 号 帧 ，S> 
收 到 0 号 帧 后 返回 应 答 帧 ACK1， 并 把 窗口 滑动 到 图 中 虚线 的 位 置 。 根 据 前 面 的 分 析 ， 从 0 号 
帧 开始 发 送 到 ACK1 到 达 Si 的 时 间 是 2+fy。 在 这 段 时 间 内 ，Si 可 连续 发 送 下 个 帧 ， 它 的 工作 
时 间 是 于 多 加 所 以 协议 的 效率 为 
机 Wxits W 


= = (3.4) 
21t, + 2a+1l 


在 以 上 讨论 中 ， 都 假定 发 送 应 答 信号 的 时 间 可 忽略 。 其 实 应 答 信号 是 用 专门 的 控制 帧 传输 
的 ， 也 需要 一 定 的 时 间 来 发 送 和 处 理 。 在 利用 全 双 工 线路 进行 双向 通信 的 情况 下 ， 应 答 信号 可 
以 放 在 S; 到 S, 方 向 发 送 的 数据 帧 中 ， 这 种 技术 叫 “ 撒 带 应 答 ”。 如 果 应 答 信号 被 撒 带 送 回 发 送 
站 ， 则 应 答 信号 的 传送 时 间 可 计 入 反 向 发 送 数 据 帧 的 时 间 中 ， 因 而 上 面 的 假定 是 符合 实际 情 
况 的 。 


3. 差错 控制 


差错 控制 是 检测 和 纠正 传输 错误 的 机 制 。 前 面 假定 没有 传输 错误 ， 但 实际 情况 不 是 这 样 。 
在 数据 传输 过 程 中 有 的 帧 可 能 丢失 ， 有 的 帧 可 能 包含 错误 的 位 ， 这 样 的 帧 经 接收 器 校 验 后 会 被 
拒绝 。 通 常 ， 应 付 传输 差错 的 办 法 如 下 。 

(1) 肯定 应 答 。 接 收 器 对 收 到 的 帧 校 验 无 误 后 送 回 肯定 应 答 信 号 ACK， 发 送 器 收 到 肯定 应 答 
信号 后 可 继续 发 送 后 续 帧 。 

〈2) 否定 应 答 重 发 。 接收 器 收 到 一 个 帧 后 经 校 验 发 现 错误 , 则 送 回 一 个 否定 应 答 信号 NAK， 
发 送 器 必须 重新 发 送出 错 帧 。 
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(3) 超时 重 发 。 发 送 器 从 发 送 一 个 帧 时 就 开始 计时 ， 在 一 定 的 时 间 间 隔 内 若 没 有 收 到 关于 
该 帧 的 应 答 信号 ， 则 认为 该 帧 丢失 并 重新 发 送 。 

这 种 技术 的 主要 思想 是 利用 差错 检测 技术 自动 地 对 丢失 帧 和 错误 帧 请 求 重 发 ， 因 而 叫 作 
ARQ (Automatic Repeat reQuest) 技术 。 结 合 前 面 讲 的 流 控 技 术 ， 可 以 组 成 3 种 形式 的 ARQ 
协议 。 

1) 停 等 ARQ 协议 

停 等 ARQ 协议 是 停 等 流 控 技 术 和 自动 请 求 重 发 技术 的 结合 。 根据 停 等 ARQ 协议 , 发 送 站 
发 出 一 帧 后 必须 等 待 应 答 信号 ， 收 到 肯定 应 答 信号 ACK 后 继续 发 送 下 一 帧 ， 收 到 否定 应 答 信 
号 NAK 后 重 发 该 帧 ;， 若 在 一 定 的 时 间 间 隔 内 没有 收 到 应 答 信 号 也 必须 重 发 。 最 后 一 种 情况 值 
得 注意 ， 没 有 收 到 应 答 信号 的 原因 可 能 是 帧 丢失 了 ， 也 可 能 是 应 答 信号 丢失 了 。 无 论 哪 一 种 原 
因 , 发 送 站 都 必须 重新 发 送 原来 的 帧 。 发 送 站 必须 有 一 个 重 发 计时 器 , 每 发 送 一 帧 就 开始 计时 。 
计时 长 度 不 能 小 于 信号 在 线路 上 一 个 来 回 的 时 间 。 另 外 在 停 等 ARQ 协议 中 ， 只 要 能 区 分 两 个 
相 邻 的 帧 是 否 重 复 就 可 以 了 ， 因 此 只 用 0 和 1 两 个 编号 ， 即 帧 编号 字段 长 度 为 1 位 。 图 3-14 表 
示 出 了 各 种 可 能 的 传送 情况 。 

超时 超时 


Si -1 


帧 0 帧 0 帧 0 /ui fh 帧 0 /mo fu 
WwW ww \ va NAKI ACK1 NO 
S2 / il 


图 3-14 停 等 ARQ 协议 








2) 选择 重 发 ARQ 协议 

下 面 介绍 的 协议 是 滑动 窗口 技术 和 自动 请 求 重 发 技术 的 结合 。 由 于 窗口 尺寸 开 到 足够 大 
时 ， 帧 在 线路 上 可 以 连续 地 流动 ， 因 此 又 称 其 为 连续 ARQ 协议 。 根 据 出 错 帧 和 丢失 帧 处 理 上 
的 不 同 ， 连 续 ARQ 协议 分 为 选择 重 发 ARQ 协议 和 后 退 六 帧 ARQ 协议 。 

图 3-15 为 两 种 连续 ARQ 协议 的 例子 ， 图 3-15 (Ca) 是 在 全 双 工 线路 上 应 用 选择 重 发 ARQ 
协议 时 帧 的 流动 情况 。 其 中 第 2 帧 出 错 ， 随 后 的 3、4、5 帧 被 缓存 。 当 发 送 站 接收 到 NAK2 时 ， 
重 发 第 2 帧 。 值 得 强调 的 是 ， 虽 然 在 选择 重 发 的 情况 下 接收 器 可 以 不 按 顺 序 接收 ， 但 接收 站 的 
链 路 层 向 网 络 层 仍 是 按 顺 序 提交 的 。 

对 于 选择 重 发 ARQ 协议 ， 窗 口 的 大 小 有 一 定 的 限制 。 假 设 帧 编号 为 3 位 ， 发 送 和 接收 窗 
大 小 都 是 7， 考虑 下 面 的 情况 。 
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(1) 发 送 窗 口 和 接收 窗口 中 的 帧 编号 都 是 0 一 6。 

(2) 发 送 站 发 出 0 一 6 号 帧 ， 但 尚未 得 到 肯定 应 答 ， 窗 口 不 能 向 前 滑动 。 

(3) 接收 站 正确 地 接收 了 0 一 6 号 帧 ， 发 出 ACK7， 接 收 窗口 向 前 滑动 ， 新 窗口 中 的 帧 编 
号 为 计 0 和 和 名 各 

(4) ACK7 丢失 ， 发 送 站 定时 器 超时 ， 重 发 0 号 帧 。 










































































(5) 接收 站 收 到 0 号 帧 ， 看 到 该 帧 编号 落 在 接收 窗口 内 ， 以 为 是 新 的 0 号 帧 而 保存 起 来 ， 
这 样 协议 就 出 错 了 。 
RS 
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(b) 后 退 入 帧 ARQ 协议 
图 3-15 连续 ARQ 协议 的 例子 












































协议 失败 的 原因 是 由 于 发 送 窗口 没有 向 前 滑动 ， 接 收 窗口 向 前 滑动 了 最 大 的 距离 ， 而 新 的 
接收 窗口 和 原来 的 发 送 窗口 中 仍 有 相同 的 帧 编号 ， 造 成 了 接收 器 误 把 重 发 的 帧 当 作 新 到 帧 。 避 
免 这 种 错误 的 办 法 就 是 缩小 窗口 ， 使 得 接收 窗口 向 前 滑动 最 大 距离 后 不 再 与 旧 的 接收 窗口 重 
合 。 显 然 ， 当 窗口 大 小 为 帧 编号 数 的 一 半 时 就 可 以 达到 这 个 效果 ， 所 以 采用 选择 重 发 ARQ 协 
议 时 窗口 的 最 大 值 应 为 帧 编号 数 的 一 半 ， 即 画 s=Ww< 2 。 


4. 后 退 六 帧 ARQ 协议 














后 退 六 帧 ARQ 协议 就 是 从 出 错 处 重 发 已 发 出 过 的 六 个 帧 。 在 图 3-15 (b) 中 ， 接 收 窗口 
的 大 小 为 1， 因 而 接收 器 必须 按 顺 序 接收 ， 当 第 2 帧 出 错时 ，2、3、4、5 号 帧 都 必须 重 发 。 

再 一 次 强调 在 全 双 工 通信 中 应 答 信号 可 以 由 反方 向 传送 的 数据 帧 “ 撒 带 ” 送 回 ， 这 种 机 制 
进一步 减 小 了 通信 开销 ， 然 而 也 带 来 了 一 定 的 问题 。 在 很 多 朱 带 方案 中 ， 反 向 数据 帧 中 的 应 答 
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字段 总 是 捕 带 一 个 应 答 信号 ， 这 样 就 可 能 出 现 对 同一 个 帧 的 重复 应 答 。 假 定 帧 编号 字段 为 3 位 
长 ， 发 送 窗 口 大 小 为 8。 当 发 送 器 收 到 第 一 个 ACK1 后 把 窗口 推进 到 后 沿 为 1、 前 沿 为 0 的 位 
置 ， 即 发 送 窗 口 现 在 包含 的 帧 编号 为 I 2、3、4、5、6、7、0。 如 果 这 时 又 收 到 一 个 撒 带 回 的 
ACK1， 发 送 器 如 何 做 呢 ? 后 一 个 ACK1 可 能 表示 窗口 中 的 所 有 帧 都 未 曾 接收 ， 也 可 能 意味 着 
窗口 中 的 帧 都 已 正确 接收 。 然 而 ， 如 果 规 定 窗口 的 大 小 为 7， 则 可 以 避免 这 种 二 义 性 。 所 以 ， 
在 后 退 六 帧 协议 中 必须 限制 发 送 窗口 大 小 矿 <2< 1。 

3.2.2 HDLC 协议 


数据 链 路 控制 协议 可 分 为 两 大 类 : 面向 字符 的 协议 和 面向 位 的 协议 。 面 向 字符 的 协议 以 字 
符 作为 传输 的 基本 单位 , 并 用 10 个 专用 字符 控制 传输 过 程 。 这 类 协议 发 展 较 早 , 至 今 仍 在 使 用 。 
面向 位 的 协议 以 位 作为 传输 的 基本 单位 ， 它 的 传输 效率 高 ， 已 广泛 地 应 用 于 公共 数据 网 上 。 这 
一 小 节 介 绍 一 种 面向 位 的 数据 链 路 控制 协议 。 

HDLC (High Level Data Link Control, 高 级 数据 链 路 控制 ) 协 议 是 国际 标准 化 组 织 根据 IBM 
公司 的 SDLC (Synchronous Data Link Control) 协议 扩充 开发 而 成 的 。 美 国 国家 标准 化 协会 
(CANSI) 则 根据 SDLC 开发 出 类 似 的 协议 ， 叫 作 ADCCP 协议 (Advanced Data Communication 
Control Procedure)。 以 下 的 讨论 都 是 基于 HDLC 。 


1. HDLC 的 基本 配置 


HDLC 定义 了 3 种 类 型 的 站 、 两 种 链 路 配置 和 3 种 数据 传输 方式 。3 种 站 分 别 如 下 。 

(1) 主 站 。 对 链 路 进行 控制 ， 主 站 发 出 的 帧 叫 命令 帧 。 

(2) 从 站 。 在 主 站 控制 下 进行 操作 ， 从 站 发 出 的 帧 叫 响应 帧 。 

(3) 复合 站 。 具 有 主 站 和 从 站 的 双重 功能 。 复 合 站 既 可 以 发 送 命令 帧 也 可 以 发 出 响应 帧 。 

两 种 链 路 配置 如 下 。 

(1) 不 平衡 配置 。 适 用 于 点 对 点 和 点 对 多 点 链 路 。 这 种 链 路 由 一 个 主 站 和 一 个 或 多 个 从 站 
组 成 ， 支 持 全 双 工 或 半 双 工 传输 。 

(2) 平衡 配置 。 仅 用 于 点 对 点 链 路 。 这 种 配置 由 两 个 复合 站 组 成 ， 支 持 全 双 工 或 半 双 工 
传输 。 

3 种 数据 传输 方式 如 下 。 

(1) 正常 响应 方式 (Normal Response Mode，NRM)。 适 用 于 不 平衡 配置 ， 只 有 主 站 能 启 
动 数据 传输 过 程 ， 从 站 收 到 主 站 的 询问 命令 时 才能 发 送 数据 。 

(2) 异步 平衡 方式 Asynchronous Balanced Mode，ABM)。 适 用 于 平衡 配置 ， 任 何 一 个 复 





下 7 荐 。 网 洛 工程 山 教 程 (第 5 版 ) 


合 站 都 无 须 取得 另 一 个 复合 站 的 允许 就 可 以 启动 数据 传输 过 程 。 

(3) 异步 响应 方式 (Asynchronous Response Mode，ARM)。 适 用 于 不 平衡 配置 ， 从 站 无 须 
取得 主 站 的 明确 指示 就 可 以 启动 数据 传输 ， 主 站 的 责任 只 是 对 线路 进行 管理 。 

正常 响应 方式 可 用 于 计算 机 和 多 个 终端 相连 的 多 点 线路 上 ， 计 算 机 对 各 个 终端 进行 轮 
询 以 实现 数据 输入 。 正 常 响应 方式 也 可 以 用 于 点 对 点 的 链 路 上 ， 例 如 计算 机 和 一 个 外 设 相 
连 的 情况 。 异 步 平衡 方式 能 有 效 地 利用 点 对 点 全 双 工 链 路 的 带宽 ， 因 为 这 种 方式 没有 轮 询 的 开 
销 。 异 步 响应 方式 的 特点 是 各 个 从 站 轮流 询问 中 心 站 ， 这 种 传输 方式 很 少 使 用 。 


2. HDLC 帧 结构 





HDLC 使 用 统一 的 帧 结构 进行 同步 传输 ， 图 3-16 所 示 为 HDLC 的 帧 结构 。 从 图 中 可 以 看 
出 ，HDLC 帧 由 6 个 字段 组 成 。 以 两 端的 标志 字段 (F) 作为 帧 的 边界 ， 在 信息 字段 (INFO) 
中 包含 了 要 传输 的 数据 。 下 面 对 HDLC 帧 的 各 个 字段 分 别 予 以 解释 。 


全 


可 扩展 可 扩展 










INFO FCS F 
可 变 ee | 8 


图 3-16 HDLC 帧 结构 








(1) 帧 标志 FE。HDLC 用 一 种 特殊 的 位 模式 01111110 作为 帧 的 边界 标志 。 链 路 上 所 有 的 站 
都 在 不 断 地 探索 标志 模式 ， 一 旦 得 到 一 个 标志 就 开始 接收 帧 。 在 接收 帧 的 过 程 中 如 果 发 现 一 个 
标志 ， 则 认为 该 帧 结束 了 。 由 于 帧 中 间 出 现 位 模式 01111110 时 也 会 被 当 作 标 志 ， 从 而 破坏 了 帧 
的 同步 ， 所 以 要 使 用 位 填充 技术 。 发 送 站 的 数据 位 序列 中 一 旦 发 现 0 后 有 5 个 1， 则 在 第 7 位 
插入 一 个 0， 这 样 就 保证 了 传输 的 数据 中 不 会 出 现 与 帧 标志 相同 的 位 模式 。 接 收 站 则 进行 相反 
的 操作 : 在 接收 的 位 序列 中 如 果 发 现 0 后 有 5 个 1， 则 检查 第 7 位 ， 若 第 7 位 为 0 则 删除 ， 若 
第 7 位 是 1 且 第 8 位 是 0， 则 认为 是 检测 到 帧 尾 的 标志 ; 若 第 7 位 和 第 8 位 都 是 1， 则 认为 是 发 
送 站 的 停止 信号 。 有 了 位 填充 技术 ， 任 意 的 位 模式 都 可 以 出 现在 数据 帧 中 ， 这 个 特点 叫 作 透明 
的 数据 传输 。 

(2) 地 址 字段 A。 地 址 字段 用 于 标识 从 站 的 地 址 ， 用 在 点 对 多 点 链 路 中 。 地 址 通常 是 8 位 
长 ， 然 而 经 过 协商 之 后 ， 也 可 以 采用 更 长 的 扩展 地 址 。 扩 展 的 地 址 字段 如 图 3-17 所 示 ， 可 以 看 
出 ， 它 是 8 位 组 的 整数 倍 。 每 一 个 8 位 组 的 最 低位 表示 该 8 位 组 是 否 是 地 址 字段 的 结尾 : 若 为 
1， 表 示 是 最 后 的 8 位 组 ; 若 为 0， 则 不 是 。 所 有 8 位 组 的 其 余 7 位 组 成 了 整个 扩展 地 址 字段 。 
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全 为 1 的 8 位 组 (11111111) 表示 广播 地 址 。 


0 7 位 地 址 [0[ ?位 ww 址 | | 1 7 位 地 址 





图 3-17 HDLC 扩展 地 址 


(3) 控制 字段 C。HDLC 定义 了 3 种 帧 ， 可 根据 控制 字段 的 格式 区 分 。 信 息 帧 (I 帧 ) 承 
载 着 要 传送 的 数据 ， 此 外 还 撒 带 着 流量 控制 和 差错 控制 的 应 答 信 号 。 管 理 帧 (S 帧 )》 用 于 提供 
ARQ 控制 信息 ， 当 不 使 用 撒 带 机 制 时 要 用 管理 帧 控制 传输 过 程 。 无 编号 帧 提供 建立 、 释 放 等 链 
路 控制 功能 ， 以 及 少量 信息 的 无 连接 传送 功能 。 控 制 字段 第 1 位 或 前 两 位 用 于 区 别 3 种 不 同 格 
式 的 帧 ， 如 图 3-18 所 示 。 基 本 的 控制 字段 是 8 位 长 ， 扩 展 的 控制 字段 为 16 位 长 。 


mT ve TO mr ve Fv | 
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(a) 基本 控制 字段 (b) 扩展 控制 字段 
图 3-18 ”控制 字段 格式 


(4) 信息 字段 INFO。 只 有 工 帧 和 某 些 无 编号 帧 含有 信息 字段 。 这 个 字段 可 含有 用 于 表示 
用 户 数据 的 任何 序列 ， 其 长 度 没有 规定 ， 但 具体 的 实现 往往 限定 了 最 大 帧 长 。 

(5) 帧 校 验 序列 FCS。FCS 中 含有 各 个 字段 的 校 验 (标志 字段 除外 )。 通 常 使 用 CRC-CCITT 
标准 产生 16 位 校 验 序列 ， 有 时 也 使 用 CRC-32 产生 32 位 校 验 序列 。 


3. HDLC 帧 类 型 








HDLC 协议 的 帧 类 型 如 表 3-3 所 示 。 下 面 结 合 HDLC 的 操作 介绍 这 些 帧 的 作用 。 


表 3-3 HDLC 协议 的 帧 类 型 

















名 字 功 能 描 述 
信息 帧 CD 命令 /响应 交换 用 户 数据 
管理 帧 (S) 
接收 就 绪 (RR) 命令 /响应 肯定 应 答 ， 可 以 接收 第 站 帧 
接收 未 就 绪 (RNR) 命令 /响应 肯定 应 答 ， 不 能 继续 接收 
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续 表 

名 字 | 功能 | 描述 
拒绝 接收 (REJ) 否定 应 答 ， 后 退 入 帧 重 发 
选择 性 拒绝 接收 (SREJ) 否定 应 答 ， 选 择 重 发 
无 编号 帧 U) 
置 正常 响应 方式 (SNRMD 命令 置 数据 传输 方式 NRM 
置 扩展 的 正常 响应 方式 (SNRME) 命令 置 数据 传输 方式 为 扩展 的 NRM 
置 异步 响应 方式 (SARM) 命令 置 数据 传输 方式 ARM 
置 扩展 的 异步 响应 方式 (SARME) 命令 置 数据 传输 方式 为 扩展 的 ARM 
置 异 步 平衡 方式 (SABM) 命令 置 数据 传输 方式 ABM 
置 扩 展 的 异步 平衡 方式 (SABME ) 置 数据 传输 方式 为 扩展 的 ABM 
置 初始 化 方式 (SIMD) 由 接收 站 启动 数据 链 路 控制 过 程 
拆除 连接 (DISC) 拆除 逻辑 连接 
无 编号 应 答 (UA) 对 置 方式 命令 的 肯定 应 答 
非 连接 方式 DM) 从 站 处 于 逻辑 上 断 开 的 状态 
请 求 拆除 连 接 (RD) 请 求 断 开 凶 辑 连 接 
请 求 初始 化 方式 (RIM) 请 求 发 送 SIM 命令 ， 启 动 初始 化 过 程 
无 编号 信息 UI) 交换 控制 信息 
无 编号 询问 (UP) 请 求 发 送 控制 信息 
复位 (RSET) 用 于 复位 , 重 置 N(R), N (S) 
交换 标识 (XID) 交换 标识 和 状态 


测试 (TEST) 交换 用 于 测试 的 信息 字段 
帧 拒绝 (PRMR) 响应 报告 接收 到 不 能 接收 的 由 


(1) 信息 帧 。 信 息 帧 除 承 载 用 户 数据 之 外 还 包含 该 帧 的 编号 N(S)， 以 及 捕 带 的 肯定 应 答 顺 
序号 NGRD)。 工 帧 还 包含 一 个 PF 位 ， 在 主 站 发 出 的 命令 帧 中 这 一 位 表示 P， 即 轮 询 (polling); 
在 从 站 发 出 的 响应 帧 中 这 一 位 是 F 位 ， 即 终止 位 〈final)。 在 正常 响应 方式 下 ， 主 站 发 出 的 工 格 
式 命令 帧 中 的 PF 位 置 1， 表 示 该 帧 是 询问 帧 ， 允 许 从 站 发 送 数据 。 从 站 响应 主 站 的 询问 ， 可 
以 发 送 多 个 响应 帧 ， 其 中 仅 最 后 一 个 响应 帧 的 P/F 位 置 1， 表 示 一 批 数据 发 送 完毕 。 在 异步 响 
应 方式 和 异步 平衡 方式 下 ，P/F 位 用 于 控制 S 帧 和 T 帧 的 交换 过 程 。 

(2) 管理 帧 。 管 理 帧 用 于 进行 流量 和 差错 控制 ， 当 没有 足够 多 的 信息 帧 撒 带 管理 命令 /响应 
时 ， 要 发 送 专门 的 管理 帧 来 实现 控制 。 从 表 3-3 看 出 ， 有 4 种 管理 帧 可 以 用 控制 字段 中 的 两 个 
S 位 来 区 分 。RR 帧 表示 接收 就 绪 ， 它 既是 对 NGR) 之 前 帧 的 确认 ， 也 是 准备 接收 NGR) 及 其 后 续 
帧 的 肯定 应 答 。RNR 帧 表示 接收 未 就 绪 ， 在 对 NGR) 之 前 的 帧 给 予 肯定 应 答 的 同时 ， 拒 绝 进 一 
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步 接收 后 续 帧 。REJ 帧 表示 拒绝 接收 NGR) 帧 ， 要 求 重 发 NGR) 帧 及 其 后 续 帧 。 显 然 , REJ 用 于 后 
退 本 帧 ARQ 流 控 方 案 中 。 类 似 地 ，SREJ 帧 用 于 选择 重 发 ARQ 流 控 方案 中 。 

管理 帧 中 P/F 位 的 作用 如 下 所 述 : 主 站 发 送 P 位 置 1 的 RR 帧 询问 从 站 ， 是 否 有 数据 要 发 
送 。 如 果 从 站 有 数据 要 发 送 ， 则 以 信息 帧 响应 ; 否则 从 站 以 下 位置 1 的 RR 帧 响应 ， 表 示 没 有 
数据 可 发 送 。 另 外 ， 主 站 也 可 以 发 送 P 位 置 1 的 RNR 帧 询问 从 站 的 状态 。 如 果 从 站 可 以 接收 
信息 帧 ， 则 以 下 位 置 1 的 RR 帧 响应 ; 反之 ， 如 果 从 站 忙 ， 则 以 上 位 置 1 的 RNR 帧 响应 。 

(3) 无 编号 帧 。 无 编号 帧 用 于 链 路 控制 。 这 类 帧 不 包含 编号 字段 ， 也 不 改变 信息 帧 流动 的 
顺序 。 无 编号 帧 按 其 控制 功能 可 分 为 以 下 几 个 子 类 。 

。 设置 数据 传输 方式 的 命令 和 响应 帧 。 

。 ”传输 信息 的 命令 和 响应 帧 。 

。 ”用 于 链 路 恢复 的 命令 和 响应 帧 。 

。 其 他 命令 和 响应 帧 。 

设置 数据 传输 方式 的 命令 帧 由 主 站 发 送 给 从 站 ， 表 示 设 置 或 改变 数据 传输 方式 。SNRM、 
SARM 和 SABM 分 别 对 应 3 种 数据 传输 方式 。SNRME、SARME 和 SABME 也 是 设置 数据 传 
输 方式 的 命令 帧 ， 然 而 这 3 种 传输 方式 使 用 两 个 字 节 的 控制 域 。 从 站 接收 了 设置 传输 方式 的 命 
令 帧 后 以 无 编号 应 答 帧 (UA) 响应 。 一 种 传输 方式 建立 后 一 直 保 持 有 效 ， 直 到 另外 的 设置 方式 
命令 改变 了 当前 的 传输 方式 。 

主 站 向 从 站 发 送 置 初始 化 方式 命令 (SIM), 使 得 接收 该 命令 的 从 站 启动 一 个 建立 链 路 的 过 
程 。 在 初始 化 方式 下 ， 两 个 站 用 无 编号 信息 帧 〈UD) 交换 数据 和 命令 。 释 放 连 接 命令 (DISC) 
用 于 通知 对 方 链 路 已 经 释放 ， 对 方 站 以 UA 帧 响应 ， 链 路 随 之 断 开 。 

除 UA 帧 之 外 ， 还 有 几 种 响应 帧 与 传输 方式 的 设置 有 关 。 非 连接 方式 帧 (DM) 可 用 于 响 
应 所 有 的 置 传 输 方式 命令 , 表示 响应 的 站 处 于 网 辑 上 断 开 的 状态 , 即 拒绝 建立 指定 的 传输 方式 。 
请 求 初始 化 方式 帧 (RIM) 也 可 用 于 响应 置 传 输 方 式 命令 ， 表 示 响 应 站 没有 准备 好 接收 命令 ， 
或 正在 进行 初始 化 。 请 求 释放 连接 帧 (RD ) 则 表示 响应 站 要 求 断 开 凶 辑 连 接 。 信 息 传输 的 命令 
和 响应 用 于 两 个 站 之 间 交 换 信息 。 无 编号 信息 帧 (UI) 既 可 作为 命令 帧 ， 也 可 作为 响应 帧 。UI 
帧 传送 的 信息 可 以 是 高 层 的 状态 、 操 作 中 断 状态 、 时 间 、 链 路 初始 化 参数 等 。 主 站 /复合 站 可 发 
送 无 编号 询问 命令 (UP) 请 求 接收 站 送 回 无 编号 响应 帧 ， 以 了 解 它 的 状态 。 

链 路 恢复 命令 和 响应 用 于 ARQ 机 制 不 能 正常 工作 的 情况 下 。 接 收 站 可 用 帧 拒绝 响应 
(FRMR) 表示 接收 的 帧 中 有 错误 。 例如， 控制 字段 无 效 、 信 息 字 段 太 长 、 帧 类 型 不 允许 携带 信 
息 以 及 撒 带 的 N(R) 无 效 等 。 

复位 命令 (RSET) 表示 发 送 站 正在 重新 设置 发 送 顺 序号 ， 这 时 接收 站 也 应 该 重新 设置 接 
收 顺 序号 。 
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还 有 两 种 命令 和 响应 不 能 归 入 以 上 几 类 。 交 换 标识 (XID ) 帧 用 于 在 两 个 站 之 间 交 换 它 们 
的 标识 和 特征 ， 实 际 交换 的 信息 依赖 于 具体 的 实现 。 测 试 命令 帧 (TEST) 用 于 测试 链 路 和 接收 
站 是 否 正常 工作 。 接 收 站 收 到 测试 命令 后 要 尽快 以 测试 帧 响应 。 

4. HDLC 的 操作 

下 面 通过 图 3-19 的 例子 说 明 HDLC 的 操作 过 程 ， 这 些 例子 虽然 不 能 襄 括 实际 运作 中 的 所 
有 情况 ， 但 是 可 以 帮助 读者 理解 各 种 命令 和 响应 的 使 用 方法 。 由 于 HDLC 定义 的 命令 和 响应 非 
常 多 ， 可 以 实现 各 种 应 用 环境 的 所 有 要 求 ， 所 以 对 于 任何 一 种 特定 的 应 用 ， 只 要 实现 一 个 子 集 
就 可 以 了 ， 以 下 给 出 的 例子 都 是 实际 应 用 中 的 典型 情况 。 
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图 3-19 HDLC 操作 的 例 


在 图 3-19 中 , 用 工 表示 信息 帧 ,， I 后 面 的 两 个 数字 分 别 表示 信息 帧 中 的 N(S) 和 N(R) 值 。 管 
理 帧 和 无 编号 帧 都 直接 给 出 帧 名 字 ， 管 理 帧 后 的 数字 则 表示 帧 中 的 NGR) 值 ，P 和 下 表示 该 帧 中 
的 PAF 位 置 1， 没 有 P 和 了 表示 这 一 位 置 0。 

图 3-19 (a) 说 明了 链 路 建立 和 释放 的 过 程 。A 站 发 出 SABM 命令 并 启动 定时 器 ， 在 一 定 
的 时 间 内 没有 得 到 应 答 后 重 发 同一 命令 。B 站 以 UA 帧 响应 ， 并 对 本 站 的 局 部 变量 和 计数 器 进 
行 初始 化 。A 站 收 到 应 答 后 也 对 本 站 的 局 部 变量 和 计数 器 进行 初始 化 ， 并 停止 计时 ， 这 时 罗 辑 
链 路 就 建立 起 来 了 。 释 放 链 路 的 过 程 由 双方 交换 一 对 命令 DISC 和 响应 UA 完成 。 在 实际 使 用 
中 可 能 出 现 链 路 不 能 建立 的 情况 ,B 站 以 DM 响应 A 站 的 SABM 命 令 , 或 者 A 站 重复 发 送 SABM 
命令 预定 的 次 数 后 放弃 建立 连接 ， 向 上 层 实体 报告 链接 失败 。 

图 3-19 (b) 说 明了 全 双 工 交换 信息 帧 的 过 程 。 每 个 信息 帧 中 用 N(S) 指 明 发 送 顺序 号 ， 用 
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NGR) 指 明 接收 顺序 号 。 当 一 个 站 连续 发 送 了 若干 帧 而 没有 收 到 对 方 发 来 的 信息 帧 时 ，NGR) 字 段 
只 能 简单 地 重复 , 例如 , A 发 给 B 的 111 和 1I21。 最 后 A 站 没有 信息 帧 要 发 时 用 一 个 管理 帧 RR4 
对 B 站 给 予 应 答 。 图 中 也 表示 出 了 肯定 应 答 的 积累 效应 ， 例 如 A 站 发 出 的 RR4 帧 一 次 应 答 了 
B 站 的 两 个 数据 帧 。 

图 3-19(c) 画 出 了 接收 站 忙 的 情况 。 出 现 这 种 情况 的 原因 可 能 是 接收 站 数据 链 路 层 缓冲 区 
溢出 ， 也 可 能 是 接收 站 上 层 实体 来 不 及 处 理 接收 到 的 数据 。 图 中 A 站 以 RNR4 响应 B 站 的 130 
帧 ， 表 示 A 站 对 第 3 帧 之 前 的 帧 已 正确 接收 ， 但 不 能 继续 接收 下 一 个 帧 。B 站 接收 到 RNR4 后 
每 隔 一 定时 间 以 P 位 置 1 的 RNR 命令 询问 接收 站 的 状态 。 接 收 站 A 如 果 保持 忙 则 以 下 位置 1 
的 RNR 帧 响应 ; 如 果 忙 状态 解除 ， 则 以 下 位 置 1 的 RR 帧 响应 ， 于 是 数据 传送 从 RR 应 答 中 的 
接收 序号 恢复 发 送 。 

图 3-19 (d) 描述 了 使 用 REJ 命令 的 例子 。A 站 发 出 了 第 3、4、5 信息 帧 ， 其 中 第 4 帧 出 
错 。 接 收 站 检 出 错误 帧 后 发 出 REJ4 命令 , 发 送 站 返回 到 出 错 帧 重 发 。 这 是 使 用 后 退 NN 帧 ARQ 
技术 的 典型 情况 。 

图 3-19(e) 表示 的 是 超时 重 发 的 例子 。A 站 发 出 的 第 3 帧 出 错 ，B 站 检测 到 错误 后 丢弃 
了 它 。 但 是 ，B 站 不 能 发 出 REJ 命令 ， 因 为 B 站 无 法 判断 这 是 一 个 I 帧 。A 站 超时 后 发 出 P 位 
置 1 的 RNR 命令 询问 B 站 的 状态 。B 站 以 RR3F 响应 ， 于 是 数据 传送 从 断 点 处 恢复 。 
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X.25 的 分 组 层 提供 虚 电 路 服务 ， 共 有 两 种 形式 的 虚 电 路 : 一 种 是 交换 虚 电路 〈Switched 
Virtual Call，SVC)， 一 种 是 永久 虚 电 路 〈Permanent Virtual Circuit，PVC)。 交 换 虚 电路 是 动态 
建立 的 虚 电 路 ， 包 含 呼叫 建立 、 数 据 传送 和 呼叫 清除 等 几 个 过 程 。 永 久 虚 电 路 是 网 络 指定 的 固 
定 虚 电 路 ， 像 专用 线 一 样 ， 无 须 建立 和 清除 连接 ， 可 直接 传送 数据 。 

无 论 是 交换 虚 电 路 还 是 永久 虚 电 路 ， 都 是 由 几 条 “虚拟 ”连接 共享 一 条 物理 信道 。 一 对 分 
组 交换 机 之 间 至 少 有 一 条 物理 链 路 ， 几 条 虚 电 路 可 以 共享 该 物理 链 路 。 每 一 条 虚 电 路 由 相 邻 节 
点 之 间 的 一 对 缓冲 区 实现 ， 这 些 缓冲 区 被 分 配给 不 同 的 虚 电 路 代号 以 示 区 别 。 建 立 虚 电路 的 过 
程 就 是 在 沿线 各 节点 上 分 配 缓冲 区 和 虚 电 路 代号 的 过 程 。 

图 3-20 是 一 个 简单 的 例子 ， 用 来 说 明 虚 电路 是 如 何 实现 的 。 图 中 有 A、B、C、D、E 和 了 
共 6 个 分 组 交换 机 。 假 定 每 个 交换 机 可 以 支持 4 条 虚 电 路 ， 所 以 需要 4 对 缓冲 区 。 图 3-20 建立 
了 6 条 虚 电 路 ， 其 中 一 条 是 “图 1-BCD-2” 它 从 B 节点 开始 ， 经 过 C 节点 ， 到 达 了 节点 连接 
的 主机 。 根 据 图 上 的 表示 ， 对 于 B 节点 连接 的 主机 来 说 ,给 它 分 配 的 是 1 号 虚 电路 ; 对 于 DD 节 
点 上 的 主机 来 说 ， 它 连接 的 是 2 号 虚 电 路 。 可 见 ， 连 接 在 同一 虚 电 路 上 的 一 对 主机 看 到 的 虚 电 
路 号 不 一 样 。 

图 3-21 为 通过 两 次 握手 建立 和 释放 虚 电 路 连接 的 例子 。 连 网 的 两 个 DTE 通过 交换 Call 
Request、Incoming Call、Call Accepted 和 Call Connected 建立 连接 ， 并 协商 连接 的 参数 。 释 放 
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虚 电 路 则 交换 Clear Request、Clear Indication、Clear Response 和 Clear Confirm 这 4 个 分 组 。 
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图 3-20 虚 电 路 表 的 例子 
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图 3-21 X.25 虚 电路 的 建立 和 释放 


和 25 PLP 层 使 用 的 各 种 分 组 的 格式 大 同 小 异 ， 如 图 3-22 所 示 。 
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QIDloll 组 号 QIDIl1 of 组 号 Q| D| x| x 组 号 
信道 号 信道 号 信道 号 
PCR) | M PCS) | 0 RS 0 分 组 类 型 | 
PCR) M| | 主 呼 方 地 址 长 度 | 被 呼 方 地 址 长 度 
用 让 主 呼 方 地 址 
用 户 数据 - 
被 呼 方 地 址 
(a) 数据 分 组 ，3 位 顺序 号 (b) 数据 分 组 , 7 位 顺序 号 而 特别 业务 长 度 
D| 0| 1 组 号 组 号 
Qolold of ol lol 特别 业务 
信道 号 信道 号 
P 分 组 类 型 | 1 分 组 类 型 
| a ! 少量 用 户 数据 
PCR) M 





(c) 控制 分 组 ，3 位 顺序 号 (d) 控制 分 组 ，7 位 顺序 号 (e) Call Request 分 组 


图 3-22 XX.25 分 组 格式 


PLP 协议 把 用 户 数据 分 成 一 定 大 小 的 块 〈 一 般 为 128 字 节 )， 再 加 24 位 或 32 位 的 分 组 头 
组 成 数据 分 组 。 分 组 头 中 第 3 个 字 节 的 最 低位 用 来 区 分 数据 分 组 和 其 他 的 控制 分 组 。 对 数据 分 
组 ， 这 一 位 为 0， 其 他 分 组 的 这 一 位 为 1。 分 组 头 中 包含 12 位 的 虚 电 路 号 ， 这 12 位 划分 为 组 
号 和 信道 号 。P(R) 和 P(S) 字 段 分 别 表示 接收 和 发 送 顺序 号 ， 用 于 支持 流量 控制 和 差错 控制 ， 这 
两 个 字段 可 以 是 3 位 或 7 位 长 。 在 分 组 头 的 第 一 个 字 节 中 有 两 位 用 来 区 分 两 种 不 同 的 格式 : 3 
位 顺序 号 格式 对 应 01，7 位 顺序 号 格式 对 应 10。Q 位 在 标准 中 没有 定义 ， 可 由 上 层 软件 使 用 ， 
用 来 区 分 不 同 的 数据 。M 位 和 DD 位 用 在 分 组 排序 中 。 

义 .25 的 流 控 和 差错 控制 机 制 与 HDLC 类 似 。 每 个 数据 分 组 都 包含 发 送 顺序 号 PS) 和 接收 
顺序 号 PR)， 默 认 的 顺序 号 为 3 位 ， 但 是 可 以 在 建立 虚 电 路 时 通过 特别 业务 机 制 要 求 使 用 7 位 
顺序 号 。P(S) 字 段 由 发 送 DTE 按 递 增 的 次 序 指定 给 每 个 发 出 的 数据 分 组 ，R(R) 字 段 梢 带 了 DTE 
期 望 从 另 一 端 接收 的 下 一 个 分 组 的 序号 。 如 果 一 端 没 有 数据 分 组 要 发 送 ， 则 可 以 用 RR 接收 
就 绪 ) 或 RNR (接收 未 就 绪 ) 控制 分 组 回 送 应 答 信息 。X.25 默认 的 窗口 大 小 是 2， 但 是 对 于 3 
位 顺序 号 窗口 最 大 可 设置 为 7， 对 于 7 位 顺序 号 窗口 最 大 可 设置 为 127。 这 也 是 在 建立 虚 电 路 
时 通过 协商 决定 的 。 

X.25 的 差错 控制 采用 后 退 N 帧 ARQ 协议 。 如 果 节点 收 到 否定 应 答 REJ， 则 重 传 P(R) 字 段 
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指明 的 分 组 及 其 之 后 的 所 有 分 组 。 
3.3 帧 中 继 网 
帧 中 继 最 初 是 作为 ISDN 的 一 种 承载 业务 而 定义 的 。 按 照 ISDN 的 体系 结构 ， 用 户 与 网 络 


的 接口 分 成 两 个 平面 ， 其 目的 是 把 信 令 和 用 户 数据 分 开 ， 如 图 3-23 所 示 。 控制 平面 在 用 户 和 网 
络 之 间 建 立 和 释放 录 辑 连接 ， 而 用 户 平面 在 两 个 端 系统 之 间 传 送 数据 。 























控制 平面 用 户 平面 用 户 平面 控制 平面 
(D 信道 ) (CD、B 或 卫 信 道 ) (CD、B 或 再 信道) (D 信道 ) 
Q.931/Q.933 Q.931/Q.933 
User-selectable 
TE functions* 
LAPD 
LAPD (Q.921) 
(Q.%21) LAPE core LAPE core 
(Q.922) (Q.922) 
1.430/1.431 1.430/1.431 
用 户 (TE) 网 络 (NT) 





图 3-23 ”用户 与 网 络 接口 协议 的 体系 结构 


帧 中 继 在 第 二 层 建 立 虚 电路 ， 用 帧 方式 承载 数据 业务 ， 因 而 第 三 层 就 被 简化 掉 了 。 同 时 ， 
FR 的 帧 层 也 比 HDLC 操作 简单 ， 只 做 检 错 ， 不 再 重 传 ， 没 有 滑动 窗口 式 的 流 控 ， 只 有 拥塞 
控制 。 


3.3.1 帧 中 继 业 务 


帧 中 继 网 络 提供 虚 电 路 业务 。 虚 电路 是 端 到 端的 连接 ， 不 同 的 数据 链 路 连接 标识 符 (Data 
Link Connection Identifier，DLCI) 代表 不 同 的 虚 电 路 。 在 用 户 一 网 络 接口 (UNI) 上 的 DLCI 
用 于 区 分 用 户 建立 的 不 同 虚 电 路 ， 在 网 络 一 网 络 接口 (NNI) 上 的 DLCI 用 于 区 分 网 络 之 间 的 
不 同 虚 电 路 。DLCI 的 作用 范围 仅 限 于 本 地 的 链 路 段 ， 如 图 3-24 所 示 。 

虚 电路 分 为 永久 虚 电 路 和 交换 虚 电 路 。PVC 是 在 两 个 端 用 户 之 间 建 立 的 固定 逻辑 连接 , 为 
用 户 提供 约定 的 服务 。 帧 中 继 交 换 设备 根据 预先 配置 的 DLCI 表 把 数据 帧 从 一 段 链 路 交换 到 另 
外 一 段 链 路 , 最 终 传送 到 接收 的 用 户 。 SVC 是 使 用 ISDN 信 令 协议 Q.931 临时 建立 的 逻辑 连接 ， 
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它 要 以 呼叫 的 形式 通过 信 令 来 建立 和 释放 。 有 的 帧 中 继 网 络 只 提供 PVC 业务 ， 而 不 提供 SVC 
业务 。 
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图 3-24 用 户 一 网 络 接口 与 网 络 一 网 络 接口 











在 帧 中 继 的 虚 电 路 上 可 以 提供 不 同 的 服务 质量 ， 服 务 质 量 参数 有 下 面 这 些 。 
。 接 入 速率 (AR): 指 DTE 可 以 获得 的 最 大 数据 速率 ， 实 际 上 就 是 用 户 一 网 络 接口 的 物 
。 约定 突 发 量 (Be): 指 在 下 《时 间 间 隔 ) 内 允许 用 户 发 送 的 数据 量 。 
。 超 突 发 量 (Be): 指 在 T. 内 超过 Be 部 分 的 数据 量 ， 对 这 部 分 数据 网 络 将 尽力 传送 。 
。 约定 数据 速率 〈CIR): 指正 常 状态 下 的 数据 速率 ， 取 下 内 的 平均 值 。 
。 扩展 的 数据 速率 (EIR): 指 允 许 用 户 增 加 的 数据 速率 。 
。 约定 速率 测量 时 间 ZT.): 指 测量 B。 和 Be 的 时 间 间 隔 。 
。 ”信息 字段 最 大 长 度 : 指 每 个 帧 中 包含 的 信息 字段 的 最 大 字 节 数 ， 默 认为 1600 字 节 。 
这 些 参数 之 间 有 如 下 关系 : 
Be=T.XCIR 
Be=T.XEIR 
在 用 户 一 网 络 接口 上 对 这 些 参数 进行 管理 。 在 两 个 不 同 的 传输 方向 上 , 这 些 参数 可 以 不 同 ， 
以 适应 两 个 传输 方向 业务 量 不 同 的 应 用 。 网 络 应 该 可 靠 地 保证 用 户 以 等 于 或 低 于 CIR 的 速率 传 
送 数据 。 对 于 超过 CIR 的 Be 部 分 ， 在 正常 情况 下 也 能 可 靠 地 传送 ， 但 是 若 出 现 网 络 拥塞 ， 则 
会 被 优先 丢弃 。 对 于 Be 部 分 的 数据 ， 网 络 将 尽量 传送 ， 但 不 保证 传送 成 功 。 对 于 超过 Be+B。 
的 部 分 ， 网 络 拒绝 接收 ， 如 图 3-25 所 示 。 这 是 在 保证 用 户 正 常 通信 的 前 提 下 防止 网 络 拥塞 的 重 
要 手段 ， 对 各 种 数据 通信 业务 〈 流 式 的 和 突 发 的 ) 有 很 强 的 适应 能 力 。 
在 帧 中 继 网 上 ， 用 户 的 数据 速率 可 以 在 一 定 的 范围 内 变化 ， 从 而 既 可 以 适应 流 式 业务 ， 又 
可 以 适应 突 发 式 业 务 ， 这 使 得 帧 中 继 成 为 远程 传输 的 理想 形式 ， 如 图 3-26 所 示 。 
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图 3-26 “用户 数 据 速率 的 变化 
3.3.2 ” 帧 中 继 协 议 


与 HDLC 一 样 ， 帧 中 继 采 用 帧 作为 传输 的 基本 单位 。 帧 中 继 协 议 叫 作 LAP-D 〈Q.921)， 
它 比 LAP-B 简单 ， 省 去 了 控制 字段 ， 帧 格式 如 图 3-27 所 示 。 
01111110 地 址 信息 FCS 01111110 


上 一 -一 一 人 -长度 可 赤 一 一 一 一 二 二 一 | 














(a) 帧 格式 
8 el 6 5 4 3 2 1 
DLCI (高 位 ) CR EA=0 
DLCI (低位 ) | FECN | BECN DE EA=1 

















(b) 2 字 节 地 址 格式 
图 3-27 帧 中 继 的 帧 格式 
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从 图 3-27 (a) 看 出 , 帧 头 和 帧 尾 都 是 一 个 字 节 的 帧 标志 字段 , 编码 为 01111110, 与 HDLC 
一 样 。 信 息 字 段 长 度 可 变 ，1600 字 节 是 默认 的 最 大 长 度 。 帧 效 验 序列 也 与 HDLC 相同 。 地 址 
字段 的 格式 如 图 3-27 (b) 所 示 。 其 中 各 参数 的 含义 如 下 。 


EA: 地 址 扩展 位 , 该 位 为 0 时 表示 地 址 向 后 扩展 一 个 字 节 , 为 1 时 表示 最 后 一 个 字 节 。 
CR: 命令 /响应 位 ， 协 议 本 身 不 使 用 这 个 位 ， 用 户 可 以 用 这 个 位 区 分 不 同 的 帧 。 
FECN: 向 前 拥塞 位 ， 若 网 络 设备 置 该 位 为 1， 则 表示 在 帧 的 传送 方向 上 出 现 了 拥塞 ， 
该 帧 到 达 接 收 端 后 ， 接 收 方 可 据 此 调整 发 送 方 的 数据 速率 。 

BECN: 向 后 拥塞 位 ， 若 网 络 设备 置 该 位 为 1， 则 表示 在 与 帧 传送 相反 的 方向 上 出 现 了 
拥塞 ， 该 帧 到 达 发 送 端 后 ， 发 送 方 可 据 此 调整 发 送 数据 速率 。 

DE: 优先 丢弃 位 ， 当 网 络 发 生 拥 塞 时 ，DE 为 1 的 帧 被 优先 丢弃 。 

DC: 该 位 仅 在 地 址 字段 为 3 或 4 字 节 时 使 用 。 一 般 情 况 下 DC 为 0， 若 DC 为 1， 则 
表示 最 后 一 个 字 节 的 3 一 8 位 不 再 解释 为 DLCI 的 低位 ， 而 被 数据 链 路 核心 控制 使 用 。 
DLCI: 数据 链 路 连接 标识 符 ， 在 3 种 不 同 的 地 址 格式 中 分 别 是 10、16 和 23 位 。 它 们 
的 取 值 范围 和 用 途 各 不 相同 ， 有 的 虚 电 路 传送 数据 ， 有 的 虚 电 路 传送 信 令 ， 还 有 的 用 
于 强化 链 路 层 管理 。 


关于 FECN 和 BECN 的 用 法 如 图 3-28 所 示 ， 这 个 叫 作 显 式 拥塞 控制 。 另 外 ， 用 户 终端 可 


以 根据 ISDN 上 层 建 立 的 序列 号 检测 帧 丢失 的 概率 ， 
一 旦 帧 的 丢失 超过 一 定 程度 ， 用 户 终端 要 自动 地 降低 
发 送 的 速率 ， 这 个 叫 隐 式 流 控 。 在 这 种 没有 流量 控制 
的 网 络 中 , 对 于 拥塞 的 控制 需要 用 户 和 网 络 共同 完成 。 
强化 链 路 层 管理 (Consolidated Link Layer 
Management，CLLM) 是 另外 一 种 拥塞 控制 的 方法 。 
这 种 CLLM 消息 通过 第 二 层 管理 连接 (DLCI 1007) 
成 批 地 传送 拥塞 信息 ， 其 中 包含 受 拥塞 影响 的 DLCI 

















图 3-28 向 前 拥塞 和 向 后 拥塞 


清单 以 及 出 现 拥塞 的 原因 等 。 收 到 CLLM 消息 的 终端 
可 以 采取 相应 的 行动 〈 例 如 减少 发 送 的 数据 量 ) 以 缓解 拥塞 。 
综 上 所 述 ，LAP-D 帧 具有 下 列 作用 。 
(1) 通过 帧 标志 字 节 对 帧 进行 封装 ， 通 过 0 位 插入 技术 做 到 透明 地 传输 。 
(2) 利用 地 址 字段 实现 对 物理 链 路 的 多 路 复 用 。 
(3) 利用 帧 校 验 和 检查 传输 错误 ， 丢 弃 出 错 的 帧 。 
(4) 检查 帧 的 长 度 在 0 位 插入 之 前 或 删除 之 后 是 否 为 整数 个 字 节 ， 丢 弃 长 度 出 错 的 帧 。 
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(5) 检查 太 长 〈 超 过 约定 的 长 度 ) 和 太 短 〈 少 于 1600 字 节 ) 的 帧 并 丢弃 。 
(6) 对 网 络 拥塞 进行 控制 。 


3.3.3” 帧 中 继 的 应 用 


帧 中 继 原 来 是 作为 ISDN 的 承载 业务 而 定义 的 ， 后 来 许多 组 织 看 到 了 这 种 协议 在 广 域 连 网 
中 的 巨大 优势 , 所 以 对 帧 中 继 技 术 进行 了 广泛 的 研究 。 这 里 有 产业 界 成 立 的 帧 中 继 论 坛 (Frame 
Relay Forum)， 也 有 国际 和 地 区 的 标准 化 组 织 ， 都 在 从 事 非 ISTN 的 独立 帧 中 继 标准 的 开发 ( 例 
如 ITU-TX.36)。 这 些 标 准 删除 了 依赖 于 ISDN 的 成 分 ， 提 供 了 通用 的 帧 中 继 连 网 功能 。 同 时 主 
要 的 网 络 设备 制造 商 〈 例 如 CISCO、3COM 等 ) 都 支持 帧 中 继 远 程 网 络 ， 它 们 的 路 由 器 都 提供 
了 FR 接口 。 图 3-29 是 通过 帧 中 继 连接 局 域 网 的 例子 。 

































































图 3-29 帧 中 继 连 接 局 域 网 


帧 中 继 远程 连 网 的 主要 优点 如 下 。 

(1) 基于 分 组 〈 帧 ) 交换 的 透明 传输 ， 可 提供 面向 连接 的 服务 。 

(2) 帧 长 可 变 ， 长 度 可 达 1600 一 4096 字 节 ， 可 以 承载 各 种 局 域 网 的 数据 帧 。 

(3) 可 以 达到 很 高 的 数据 速率 ，2 一 453Mbps。 

(4) 既 可 以 按 需 要 提供 带宽 ， 也 可 以 应 付 突 发 的 数据 传输 。 

(5) 没有 流 控 和 重 传 机 制 ， 开 销 很 少 。 

帧 中 继 协议 在 第 二 层 实现 , 没有 定义 专门 的 物理 层 接口 , 可 以 用 义 21、V35、G703 或 G704 
接口 协议 。 用 户 在 UNI 接口 上 可 以 连接 976 条 PVC (DLCI-16 一 991)。 在 帧 中 继 之 上 不 仅 可 以 
承载 卫 数据 报 ， 而 且 其 他 的 协议 〈 例 如 LLC、SNAP、IPX、ARP 和 RARP 等 ) 甚至 远程 网 桥 
协议 都 可 以 在 帧 中 继 上 透明 地 传输 。 帧 中 继 论坛 已 经 公布 了 多 种 协议 通过 帧 中 继 传送 的 标准 
(例如 IP over RF)。 
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建立 专用 的 广域网 可 以 租用 专线 , 也 可 以 租用 PVC。 帧 中 继 相 对 于 租用 专线 也 有 许多 优点 ， 
例如 下 面 这 些 。 

(1) 由 于 使 用 了 虚 电 路 ， 所 以 减少 了 用 户 设备 的 端口 数 。 特 别 是 对 于 星 型 拓扑 结构 〈 一 个 
主机 连接 多 个 终端 )， 这 个 优点 很 重要 。 对 于 网 状 拓扑 结构 ， 如 果 有 台 机 器 相连 ， 利 用 帧 中 
继 可 以 提供 MN-1)/2 条 虚拟 连接 ， 而 不 是 NOV-D 个 端口 。 

(2) 提供 备份 线路 成 为 运营 商 的 责任 ， 而 不 需要 端 用 户 处 理 。 备 份 连接 成 为 对 用 户 透明 的 
交换 功能 。 

(3) 采用 CIR+EIR 的 形式 可 以 提供 很 高 的 峰值 速率 ， 同 时 在 正常 情况 下 使 用 较 低 的 CIR， 
可 以 实现 经 济 的 数据 传输 。 

(4) 利用 帧 中 继 可 以 建立 全 国 范围 的 虚拟 专用 网 ， 既 简化 了 路 由 又 增加 了 安全 性 。 

(5) 使 用 帧 中 继 通 过 一 点 连接 到 Intemet， 既 经 济 又 安全 。 

帧 中 继 的 缺点 如 下 。 

(1) 不 适合 对 延迟 敏感 的 应 用 (例如 声音 、 视 频 )。 

(2) 不 保证 可 靠 的 提交 。 

(3) 数据 的 丢失 与 否 依赖 于 运营 商 对 虚 电 路 的 配置 。 


3.4 ISDN 和 ATM 


随 着 技术 的 进步 ， 新 的 通信 业务 不 断 涌现 ， 新 的 通信 网 络 也 应 运 而 生 。 在 今天 的 通信 和 领域 
有 各 种 各 样 的 网 络 ， 如 用 户 电报 网 、 固 定 电话 网 、 移 动 电话 网 、 电 路 交换 数据 网 、 分 组 交换 数 
据 网 、 租 用 线路 网 、 局 域 网 和 城 域 网 等 。 为 了 开发 一 种 通用 的 电信 网 络 ， 实 现 全 方位 的 通信 服 
务 ， 电 信 工 程 师 们 提出 了 综合 业务 数字 网 。 


3.4.1 综合 业务 数字 网 


ISDN 分 为 窄带 ISDN(Narrowband Integrated Service Digital Network,N-ISDN) 和 宽带 ISDN 
(Broadband Integrated Service Digital Network，B-ISDN)。N-ISDN 是 20 世纪 70 年 代 开 发 的 网 
络 技术 ， 开 发 它 的 目的 是 以 数字 系统 代替 模拟 电话 系统 ， 把 音频 、 视 频 和 数据 业务 放 在 一 个 网 
络 上 统一 传输 。 从 用 户 的 角度 看 ，ISDN 的 体系 结构 如 图 3-30 所 示 。 

用 户 通过 本 地 的 接口 设备 访问 N-ISDN 提供 的 数字 管道 digital pipe)， 数 字 管 道 以 固定 的 
位 速率 提供 电路 交换 服务 、 分 组 交换 服务 或 其 他 服务 。 为 了 提供 不 同 的 服务 ，ISDN 需要 复杂 
的 信 令 系统 来 控制 各 种 信息 的 流动 ， 同 时 按照 用 户 使 用 的 实际 速率 进行 收费 ， 这 与 电话 系统 根 
据 连 接 时 间 收 费 是 不 同 的 。 
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电信 部 门 


至 电信 网 络 | 


天 只- 二 旬 道 rr SS 

数字 管道 
I NT 二 上 一 | 
ISDRE 放 SR 交大 5 彼 壹 设 膏 上 吉村 














电信 部门 一 
| “至 电信 网 络 










用 户 电信 设施 


(b) 基 群 速率 接口 
图 3-30 N-ISDN 用 户 接口 


1. ISDN 用 户 接口 


ISDN 系统 主要 提供 两 种 用 户 接口 : 基本 速率 2B+D 和 基 群 速率 30B+D。B 信道 是 64kbps 
的 话音 或 数据 信道 ， 而 D 信道 是 16kbps 或 64kbps 的 信 令 信道 。 对 于 家 庭 用 户 ， 通 信 公 司 在 用 
户 住所 安装 一 个 第 一 类 网 络 终 接 设 备 NT1。 用 户 可 以 在 连接 NT1 的 总 线 上 最 多 挂 接 8 台 设备 共 
享 2B+D 的 144kbps 信道 ， 如 图 3-30 (a) 所 示 。NT1 的 另 一 端 通过 长 达 数 千 米 的 双 绞 线 连接 到 
ISDN 交换 局 。 通 常 家 庭 连 网 使 用 这 种 方式 。 

大 型 商业 用 户 则 要 通过 第 二 类 网 络 终 接 设 备 NT2 连接 ISDN， 如 图 3-30 (b) 所 示 。 这 种 
接 入 方式 可 以 提供 30B+D (接近 2.048Mbps) 的 接口 速率 ， 甚 至 更 高 。 所 谓 NT2， 就 是 一 台 专 
用 小 交换 机 (Private Branch eXchange，PBX)， 它 结合 了 数字 数据 交换 和 模拟 电话 交换 的 功能 
可 以 对 数据 和 话音 混合 传输 ， 与 ISDN 交换 局 的 交换 机 功能 差不多 ， 只 是 规模 小 一 些 。 

用 户 设 备 分 为 两 种 类 型 : 1 型 终端 设备 (TE1) 符合 ISDN 接口 标准 ,可 通过 数字 管道 直接 
连接 ISDN， 例如 数字 电话 、 数 字 传 真 机 等 ; 2 型 终端 设备 〈TE2) 是 非 标准 的 用 户 设备 ， 必 须 
通过 终端 适配器 (TA) 才能 连接 ISDN。 通 常 的 PC 就 是 TE2 设备 ， 需 要 插入 一 个 ISDN 适 配 
卡 才能 接 入 ISDN。 


2.B-ISDN 体系 结构 


窄带 ISDN 的 缺点 是 数据 速率 太 低 ， 不 适合 视频 信息 等 需要 高 带宽 的 应 用 ， 它 仍然 是 一 种 
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基于 电路 交换 网 的 技术 。 20 世纪 80 年 代 , ITU-T 成 立 了 专门 的 研究 组 织 , 开发 宽带 ISDN 技术 ， 
后 来 在 L321 建议 中 提出 了 B-ISDN 体系 结构 和 基于 分 组 交换 的 ATM 技术 ， 如 图 3-31 所 示 。 
B-ISDN 模型 采用 了 与 OSI 参考 模型 同样 的 分 层 概念 ， 同 时 还 以 不 同 的 平面 来 区 分 用 户 信 息 、 
控制 信息 和 管理 信息 。 








平面 管理 
层 管理 
控制 平面 f 用 户 平面 
高 层 高 层 
AITM 适 配 层 
ATM 层 
物理 层 


























图 3-31 B-ISDN 参考 模型 


用 户 平 面 提供 与 用 户 数据 传送 有 关 的 流量 控制 和 差错 检测 功能 。 控 制 平面 主要 用 于 连接 和 
信 令 信息 的 管理 。 管 理 平面 支持 网 络 管理 和 维护 功能 。 每 一 个 平面 划分 为 相对 独立 的 协议 层 ， 
共有 4 个 层次 ， 各 层 又 根据 需要 分 为 若干 子 层 ， 其 功能 如 表 3-4 所 示 。 


表 3-4 B-ISDN 各 层 的 功能 


层 次 子 层 与 OSI 的 对 应 
高 导 高 导 
江宁 了 层 为 高 层 数据 提供 统一 接口 
拆 装 子 导 
虚 通 路 和 虚 信 道 的 管理 


ArM 层 信 元 头 的 组 装 和 拆 分 


信 元 的 多 路 复 用 
流量 控制 

信 元 校 蛤 和 速率 控制 
数据 帧 的 组 装 和 拆 分 
位 定时 
物理 网 络 接 入 





传输 汇聚 子 层 





物理 层 
物理 介质 子 层 








B-ISDN 的 关键 技术 是 异步 传输 模式 ,采用 5 类 双 绞 线 或 光纤 传输 ,数据 速率 可 达 155Mbps， 
可 以 传输 无 压缩 的 高 清晰 度 电 视 (HTV)。 这 种 高 速 网 络 有 广泛 的 应 用 领域 和 广阔 的 发 展 前 途 。 
下 面 首先 介绍 ATM 的 基本 概念 。 
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3. 同步 传输 和 异步 传输 


电路 交换 网 络 按照 时 分 多 路 的 原理 将 信息 从 一 个 节点 传送 到 另外 一 个 节点 , 这 种 技术 叫 作 
同步 传输 模式 (Synchronous Transfer Mode，STM)， 即 根据 要 求 的 数据 速率 为 每 一 风 辑 信道 分 
配 一 个 或 几 个 时 槽 。 在 连接 存在 期 间 ， 时 覃 是 固定 分 配 的 ， 当 连接 释放 时 ， 时 模 就 被 分 配给 其 
他 连接 。 例 如 在 Ti 载波 中 ， 每 一 话 路 可 以 在 Ti 帧 中 占用 一 个 时 槽 ， 每 个 时 槽 包含 8 位 ， 如 图 
3-32 所 示 。 





一 站 Cos 一 一 一 一 一 一 一 
22P3p4| 112[314[5[6[?7[s[9liolulizlial4llsltai7hsllezoplp2zps3l24|1]2[3 





图 3-32 同步 传输 模式 的 例子 


异步 传输 模式 (Asynchronous Transfer Mode，ATM) 与 前 一 种 分 配 时 槽 的 方法 不 同 。 它 把 
用 户 数据 组 织 成 53 字 节 长 的 信 元 (cell)， 从 各 种 数据 源 随机 到 达 的 信 元 没有 预定 的 顺序 ， 而 且 
信 元 之 间 可 以 有 间隙 ， 信 元 只 要 准备 好 就 可 以 进入 信道 。 在 没有 数据 时 ， 向 信道 发 送 空 信 元 ， 
或 者 发 送 OAM (Operation And Maintenance) 信 元 ， 如 图 3-33 所 示 。 图 中 的 信 元 排列 是 不 固定 
的 ， 这 就 是 它 的 异步 性 ， 也 叫 作 统计 时 分 复 用 。 所 以 ，ATM 就 是 以 信 元 为 传输 单位 的 统计 时 分 
复 用 技术 。 

每 个 信道 得 到 T, 帧 中 的 一 个 字 节 
2[|1[1[4[?[llnofls[7ls[olz [2 [bn 
每 个 信 元 53 字 节 信 元 在 传输 线 中 没有 固定 的 顺序 


图 3-33 异步 传输 模式 的 例子 


信 元 不 仅 是 传输 的 信息 单位 ， 而 且 也 是 交换 的 信息 单位 。 在 ATM 交换 机 中 ， 根 据 已 经 建 
立 的 迪 辑 连接 ， 把 信 元 从 入 端 链 路 交换 到 出 端 链 路 ， 
如 图 3-34 所 示 。 由 于 信 元 是 53 字 节 的 固定 长 度 ， 所 
以 可 以 高 速 地 进行 处 理 和 交换 ， 这 正 是 ATM 区 别 于 一 一 

ATM 的 典型 数据 速率 为 150Mbps。 通 过 计算 
150M/8/53=360 000， 即 每 秒 钟 每 个 信道 上 有 36 万 个 图 3-34 ATIM 交换 
信 元 来 到 ， 所 以 每 个 信 元 的 处 理 周 期 仅 为 2.7hs。 商 用 ATM 交换 机 可 以 连接 16 一 1024 个 逻辑 
信道 ， 于 是 每 个 周期 中 要 处 理 16 一 1024 个 信 元 。 短 的 、 固 定 长 度 的 信 元 为 使 用 硬件 进行 高 速 
交换 创造 了 条 件 。 

由 于 ATM 是 面向 连接 的 , 所 以 ATM 交换 机 在 高 速 交 换 中 要 尽量 减少 信 元 的 丢失 , 同时 保 
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证 同一 虚 电路 上 的 信 元 顺序 不 能 改变 。 这 是 ATM 交换 机 设计 中 要 解决 的 关键 问题 。 
3.4.2 ATM 虚 电 路 


ATM 的 网 络 层 以 虚 电 路 提供 面向 连接 的 服务 。 ATM 支持 两 级 连接 , 即 虚 通 路 (Virtual Path) 
和 虚 信 道 (Virtual Channel)。 虚 信道 相当 于 X.25 的 虚 电 路 , 一 组 虚 信 道 捆 绑 在 一 起 形成 虚 通路 ， 
如 图 3-35 所 示 。 这 样 的 两 级 连接 提供 了 更 好 的 调度 性 能 。 





虚 信道 














图 3-35 ”ATM 的 虚 通 路 和 虚 信道 


ATM 虚 电 路 具有 下 列 特点 。 

(1) ATM 是 面向 连接 的 (提供 面向 连接 的 服务 ， 内 部 操作 也 是 面向 连接 的 )， 在 源 和 目标 
之 间 建 立 虚 电路 〈 即 虚 信 道 )。 

(2) ATM 不 提供 应 答 ， 因 为 光纤 通信 是 可 靠 的 ， 只 有 很 少 的 错误 可 以 留 给 高 层 处 理 。 

(3) 由 于 ATM 的 目的 是 实现 实时 通信 (例如 话音 和 视频 ), 所 以 偶然 的 错误 信 元 不 必 重 传 。 

虚 电路 中 传送 的 协议 数据 单元 叫 作 ATM 信 元 。ATM 信 元 包含 5 个 字 节 的 信 元 头 和 48 个 
字 节 的 数据 。 信 元 头 的 结构 如 图 3-36 所 示 。 可 以 看 出 ， 在 UNI 接口 和 NNI 接口 上 的 信 元 是 不 
一 样 的 。 

















CLP 





























GFC VPI VCI | PTI 川 HEC 
(a) UNI 信 元 
CLP 
VPI VCI PTI 上 HEC 
(Cb) NNI 信 元 
图 3-36 ”ATM 的 信 元 头 结构 


下 面 分 别 介绍 各 个 字段 的 含义 。 

。 ”GFC (General Flow Control): 4 位， 主机 和 网 络 之 间 的 信 元 才 有 这 个 字段 ， 可 用 于 主 
机 和 网 络 之 间 的 流 控 或 优先 级 控制 ， 经 过 第 一 个 交换 机 时 被 重 写 为 VPI 的 一 部 分 。 这 
个 字段 不 会 传送 到 目标 主机 。 


司 ss 层 
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。 VPI ( 虚 通 路 标识 符 ): 有 8 位 (UND 或 12 位 (NNI) 之 分 。 

。 VCI ( 虚 信 道 标 识 符 ): 16 位 ， 理 论 上 每 个 主机 都 有 256 个 虚 通 路 ， 每 个 虚 通路 包含 
65 536 个 虚 信 道 。 实 际 上 ， 部 分 虚 信 道 用 于 控制 功能 (例如 建立 虚 电 路 )， 并 不 传送 用 
户 数据 。 

。 PTI (Payload Type): 负载 类 型 (3 位 )， 表 3-5 说 明了 这 3 位 的 含义 ， 其 中 的 0 型 或 1 
型 信 元 是 用 户 提供 的 ， 用 于 区 分 不 同 的 用 户 信息 ， 而 拥塞 信息 是 网 络 提供 的 。 








表 3-5 负载 类 型 
PTI 值 含义 含义 
000 = 数据， 无 拥塞 ，0 型 信 元 相 邻 交换 机 之 间 的 维护 信息 
001 > 数据， 无 拥塞 ，! 型 信 元 源 和 目标 交换 机 之 间 的 维护 信息 
010 数据， 有 拥塞 ，0 型 信 元 源 管理 信 元 
011 数据， 有 拥塞 ，! 型 信 元 保留 





。 ”CLP (Cell Loss Priority): 这 一 位 用 于 区 分 信息 的 优先 级 ， 如 果 出 现 拥塞 ， 交 换 机 优先 
丢弃 CLP 被 设置 为 1 的 信 元 。 

。 HEC (Header Ermror Check): 8 位 的 头 校 验 和 ， 将 信 元 位 形成 的 多 项 式 乘 以 28， 然 后 除 
以 xs+Hxr?Hx+l， 就 形成 了 8 位 的 CRC 校 验 和 。 


3.4.3 ATM 高 层 


这 是 与 业务 相关 的 高 层 。ATM 4.0 规定 的 用 户 业 务 分 为 4 类 ， 如 表 3-6 所 示 。 
表 3-6 高层 协议 
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拥塞 反馈 





这 4 类 业务 介绍 如 下 。 

(1) CBR (Constant Bit Rate)。 固 定 比特 率 业务 ， 用 于 模拟 铜 线 和 光纤 信道 ， 没 有 错误 检 
查 ， 没 有 流 控 ， 也 没有 其 他 处 理 。 这 种 业务 使 得 当前 的 电话 系统 可 以 平滑 地 转换 到 B-ISDN， 
也 适合 于 交互 式 话音 和 视频 流 。 

(2) VBR (Variable BitRate)。 可 变 比特 率 业务 ， 又 分 为 以 下 两 类 。 
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。 实时 性 : 例如 交互 式 压缩 视频 信号 (MPEG) 就 属于 这 一 类 业务 ， 其 特点 是 传输 速率 
变化 很 大 ， 但 是 信 元 的 到 达 模 式 不 应 有 任何 抖动 ， 即 对 信 元 的 延迟 和 延迟 变化 要 加 强 
控制 。 
。 ” 非 实时 性 ， 这 一 类 通信 要 求 按时 提交 ， 但 一 定 程度 的 抖动 是 允许 的 ， 例 如 多 媒体 电子 
邮件 就 属于 这 一 类 业务 。 由 于 多 媒体 电子 邮件 在 显示 之 前 已 经 存 入 了 接收 者 的 磁盘 ， 
所 以 信 元 的 延迟 抖动 在 显示 之 前 已 经 被 排除 了 。 
(3) ABR (Available Bit Rate)。 有 效 比特 率 业 务 ， 用 于 突 发 式 通 信 。 如 果 一 个 公司 通过 租 
用 线路 连接 它 的 各 个 办 公 室 ， 就 可 以 使 用 这 一 类 业务 。 公 司 可 以 选择 足够 的 线路 容量 来 处 理 峰 
值 负载 , 但 是 经 常会 有 大 量 的 线路 容量 空闲 ; 或 者 公司 选择 的 线路 容量 只 能 够 处 理 最 小 的 负载 ， 
在 负载 大 时 会 经 受 拥塞 的 困扰 。 例 如 ， 平 时 线路 保证 5Mbps， 峰 值 时 可 能 会 达到 10Mbps。 

(4) UBR (Unspecified Bit Rate)。 不 定 比特 率 通 信 ， 可 用 于 传送 也 分 组 .因为 下 协议 不 
保证 提交 ， 如 果 发 生 拥 塞 ， 信 元 可 以 被 丢弃 。 文 件 传输 、 电 子 邮件 和 USENET 新 闻 是 这 类 业务 
潜在 的 应 用 领域 。 


3.4.4 ATM 适 配 层 


ATM 适 配 层 (CATM Adaptation Layer) 负责 处 理 高 层 来 的 信息 ， 发 送 方 把 高 层 来 的 数据 分 
割 成 48 字 节 长 的 ATM 负载 ， 接 收 方 把 ATM 信 元 的 有 效 负载 重新 组 装 成 用 户 数据 包 。AIM 适 
配 层 分 为 以 下 两 个 子 层 。 

。 CS (Convergence) 子 层 : 提供 标准 的 接口 。 

。 SAR (Segmentation and Reassembly) 子 层 : 对 数据 进行 分 段 和 重 装 配 。 

这 两 个 子 层 与 相 邻 层 的 关系 如 图 3-37 所 示 。 











应 用 层 数据 
CS 子 层 的 输出 cS cs | 
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SAR 子 层 输出 [SAR| CS SAR| [SAR| SAR SAR Cs [SAR| 
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ATM 层 输出 [ArM [SAR] CS SAR| [ATMISAR SAR| [ATMISAR| CS [SAR| 
48 字 节 























53 字 节 


图 3-37 AAL 层 与 相 邻 层 的 关系 
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AAL 又 分 为 4 种 类 型 ， 对 应 于 A、B、C、D 4 种 业务 (如 表 3-7 所 示 )， 这 4 种 业务 是 定 
义 AAL 层 时 的 目标 业务 。 


表 3-7 高 层 协 议 





端 到 端 定时 
比特 率 | 恒定 | 可 变 








连接 模式 面向 连接 无 连接 


。 ”AAL1: 对 应 于 A 类 业务 。CS 子 层 检测 丢失 和 误 插 入 的 信 元 ， 平 滑 进来 的 数据 ， 提 供 
固定 速率 的 输出 ， 并 且 进 行 分 段 。SAR 子 层 加 上 信 元 顺序 号 和 及 其 检查 和 ， 以 及 奇偶 


。 AAL2: 对 应 于 B 类 业务 ， 用 于 传输 面向 连接 的 实时 数据 流 。 无 错误 检测 ， 只 检查 
顺序 。 


。 AAL3/4: 对 应 于 C/D 类 业务 ， 原 来 ITU-T 有 两 个 不 同 的 协议 分 别 用 于 C 类 和 DD 类 业 
务 ， 后 来 合并 为 一 个 协议 。 该 协议 用 于 面向 连接 的 和 无 连接 的 服务 ， 对 信 元 错误 和 丢 
失 敏 感 ， 但 是 与 时 间 无 关 。 

。 AAL5: 对 应 于 C/D 类 业务 ， 这 是 计算 机 行业 提出 的 协议 。 与 AAL3/4 不 同 之 处 是 在 
CS 子 层 加 长 了 检查 和 字段 , 减少 了 SAR 子 层 ， 只 有 分 段 和 重组 功能 ， 因 而 效率 更 高 。 
图 3-38 表示 AAL5 的 两 个 子 层 的 功能 ， 其 中 的 PAD 为 填充 字段 ,使 其 成 为 48 字 节 的 
整数 倍 ; UU 字段 供 高 层 用 户 使 用 ， 例 如 作为 顺序 号 或 多 路 复 用 ，AAL 层 不 用 ; Len 
字段 代表 有 效 负 载 的 长 度 ，CRC 字段 为 32 位 校 验 和 ， 对 高 层 数 据 提供 保护 。AAL5 
多 用 在 局 域 风 中， 实现 ATM 局 域 网 仿真 LANE)。 


CS 于 屋 | 有 效 负载 (1~65 535 守节 ) [PAD 


De 


2 4 
rm | crc | 















sn 


48 
图 3-38 AALS5 的 两 个 子 层 


3.4.5_ATM 通信 管理 


AIM 网 络 是 一 种 高 速 网 络 ，ATM 通信 和 莉 盖 了 实时 的 和 非 实 时 的 、 高 速 的 和 低速 的 (从 每 
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秒 数 千 位 到 数 百 兆 位 )、 固 定 比 特 率 和 可 变 比特 率 等 多 种 模式 ， 因 而 对 拥塞 控制 提出 了 很 高 的 
要 求 。 然 而 ， 在 ATM 信 元 中 可 用 于 通信 控制 的 开销 位 非常 有 限 ， 所 以 对 信 元 流 的 控制 必须 由 
另外 的 机 制 来 实施 。ITU-T 基于 简化 控制 机 制 和 提高 传输 效率 的 目的 定义 了 基本 的 通信 管理 功 
能 (L371 建议 )， 同 时 ATM 论坛 又 提出 了 更 高 级 的 通信 和 拥塞 控制 机 制 〈Traffc Management 
Specification 4.0)， 所 有 这 些 控制 功能 的 主要 目标 都 是 避免 或 者 减 小 网 络 拥塞 ， 保 证 ATM 网 络 
的 服务 质量 QoS)。 这 一 节 讨论 ATM 网 络 的 通信 管理 和 拥塞 控制 机 制 。 


1， 连 接 准 入 控制 


连接 准 入 控制 是 防止 网 络 因 超 载 而 出 现 拥塞 的 第 一 道 防线 。 用 户 在 请 求 建立 一 个 VPC 或 
VCC 时 ， 必 须 说 明 通信 流 的 特征 ， 从 网 络 提供 的 各 种 QoS 参数 类 中 选择 适合 自己 需求 的 类 别 。 
当 且 仅 当 网 络 在 维护 已 有 的 连接 正常 运行 的 前 提 下 能 够 满足 用 户 的 需求 时 才 接受 新 的 连接 请 
求 ， 这 时 网 络 与 用 户 之 间 就 建立 了 一 个 通信 合约 ， 只 要 用 户 在 通信 过 程 中 遵守 合约 ， 就 应 该 得 
到 需要 的 服务 质量 。 通 信 合 约 可 以 用 以 下 4 个 参数 表示 。 
。 峰值 信 元 速率 ; 提供 给 ATM 连接 的 最 大 通信 速率 。 
。 ” 信 元 时 延 变化 : 在 测量 点 上 观察 到 的 信 元 到 达 模 式 相对 于 峰值 速率 变化 的 上 限 。 
。 可 持续 信 元 速率 : 在 ATM 连接 持续 时 间 可 获得 的 平均 速率 的 上 限 。 
。 突 发 容 限 : 在 测量 点 上 观察 到 的 信 元 到 达 模 式 相对 于 可 持续 信 元 速率 变化 的 上 限 。 
前 两 个 参数 适用 于 CBR 和 VBR 通信 ， 后 两 个 参数 仅 适 用 于 VBR 通信 。 虽 然 CBR 通信 源 
是 以 固定 的 峰值 速率 生成 信 元 ， 但 是 由 于 种 种 原因 《〈 例 如， 不 同 速率 的 多 个 通信 流 复 用 AITM 
信道 而 引起 的 排队 延迟 ， 插 入 OAM 信 元 引起 的 时 延 ， 物 理 层 插 入 控制 位 引起 的 滞后 效应 等 ) 
会 引起 信 元 到 达 时 间 出 现 偏差 ， 信 元 堆积 时 意味 着 峰值 速率 增加 ， 信 元 之 间 出 现 间隙 则 意味 着 
峰值 速率 减少 。 在 网 络 为 一 个 连接 分 配 资源 时 不 仅 要 考虑 其 峰值 速率 ， 而 且 要 考虑 以 上 因素 引 
起 的 信 元 速率 变化 。 特 别 是 对 于 VBR 通信 ， 还 要 考虑 可 持续 信 元 速率 和 突 发 容 限 ， 这 样 才能 
更 有 效 地 使 用 网 络 资源 。 例 如 ， 如 果 多 个 VCC 统计 时 分 多 路 复 用 一 个 VPC， 若 根据 峰值 速率 
和 平均 速率 综合 考虑 ， 则 为 VPC 分 配 的 缓冲 区 才能 得 到 有 效 的 利用 ， 同 时 还 不 会 丢失 信 元 。 用 
户 和 网 络 之 间 可 以 用 不 同 的 方式 建立 通信 合约 。 
。 隐 含 说 明 通信 参数 。 可 以 由 网 络 操作 员 规定 一 个 参数 值 的 集合 ， 用 户 从 默认 的 集合 中 
选择 符合 自己 需要 的 参数 值 ， 所 有 的 或 同类 型 的 连接 被 赋予 同样 的 参数 值 ， 提 供 同 样 
的 服务 质量 。 

。 显 式 说 明 通信 参数 。 用 户 提出 连接 请 求 时 说 明 需 要 的 通信 参数 ， 网 络 操作 员 为 特定 的 
用 户 提供 特定 的 参数 值 。 对 于 固定 虚 电 路 ， 在 连接 建立 时 通过 网 络 管理 系统 设 定 所 有 
的 通信 参数 ， 对 于 交换 虚 电 路 ， 用 户 与 网 络 通过 ATM 信 令 来 协商 连接 的 通信 参数 。 
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2. 使 用 参数 控制 


连接 一 旦 建立 ， 网 络 必须 监控 用 户 是 否 遵守 通信 合约 ， 避 免 由 于 用 户 滥用 资源 而 引起 网 络 
拥塞 。 使 用 参数 控制 可 以 在 VPC 和 VCC 两 级 实施 , 但 主要 还 是 监控 VPC 的 使 用 参数 ,因为 网 
络 资源 毕竟 是 在 VPC 基础 上 分 配 的 ， 包 含 其 中 的 所 有 VCC 共享 分 配给 VPC 的 资源 。 

对 于 信 元 峰值 速率 〈(R) 和 信 元 时 延 变化 的 监控 适用 下 面 的 算法 。 如 果 没 有 时 延 变 化 ， 则 
信 元 到 达 的 间隔 时 间 T=1R;， 如 果 出 现时 延 变化 ，7 值 就 不 固定 了 。 网 络 监控 所 有 的 信 元 到 达 
时 间 ， 对 于 Ts 的 信 元 ， 网 络 放行 ， 对 于 7>r 的 信 元 ， 可 置 其 CLP=1， 在 后 续 的 监控 点 如 果 
出 现 拥塞， 则 会 被 优先 丢弃 ， 这 里 + 是 网 络 规定 的 时 延 变 化 容 限 。 对 于 可 持续 信 元 速率 和 突 发 
容 限 ， 可 以 用 类 似 的 算法 进行 监控 。 


3. 通信 和 量 整 形 
通信 量 整 形 用 于 平滑 通信 流 ， 减 少 信 元 的 堆积 ， 公 平地 分 配 资源 ， 缩 小 平均 延迟 时 间 。 有 


一 种 令 牌 桶 算法 如 图 3-39 所 示 , 这 种 算法 不 是 监视 和 丢弃 违反 通信 合约 的 信 元 , 而 是 规范 信 元 
的 行为 ， 使 其 符合 通信 合约 的 规定 。 


We 


容量 





用 户 产生 的 信 元 进入 ATM 信 道 
服务 器 





图 3-39 令 牌 桶 算法 


在 图 3-39 中 , 令 牌 产生 器 每 秒 钟 生产 p 个 令 牌 , 并 把 它们 放 入 容量 为 8 的 令 牌 桶 中 ， 如果 
令 牌 桶 放 满 了 ， 多 余 的 令 牌 将 被 丢弃 。 用 户 发 出 的 信 元 经 过 服务 器 转发 进入 ATM 信道 。 服 务 
器 的 服务 规则 是 每 传送 一 个 信 元 必须 从 令 牌 桶 中 取出 并 消耗 掉 一 个 令 牌 ， 如 果 令 牌 能 充分 供 
应 ， 则 服务 器 可 以 连续 转发 ; 如 果 令 牌 供应 不 及 时 ， 服 务 器 就 暂停 转发 ， 并 等 待 获取 新 的 令 牌 。 
按照 这 个 算法 ， 信 元 离开 服务 器 进入 ATM 信道 的 平均 速率 不 能 大 于 令 牌 产生 的 速率 〈p)， 但 
是 可 以 有 一 定 的 突 发 性 ， 在 短 时 间 内 消耗 掉 令 牌 桶 中 积压 的 所 有 令 牌 。 
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传统 局 域 网 (Local Area Networks，LAN) 是 分 组 广播 式 网 络 ， 这 是 与 分 组 交换 式 的 广 域 
网 的 主要 区 别 。 在 广播 网 络 中 ， 所 有 工作 站 都 连接 到 共享 的 传输 介质 上 ， 共 享 信道 的 分 配 技术 
是 局 域 网 的 核心 技术 ， 而 这 一 技术 又 与 网 络 的 拓扑 结构 和 传输 介质 有 关 。 地 理 范 围 介 于 局 域 网 
与 广域网 之 间 的 是 城 域 网 (Metropolitan Area Networks，MAN), 城 域 网 采用 的 技术 与 局 域 网 类 
似 ， 两 种 网 络 协议 都 包含 在 IEEE LAN/MAN 委员 会 制定 的 标准 中 。 本 章 介绍 几 种 常见 的 局 域 
网 和 城 域 网 的 有 关 国 际 标准 ， 以 及 工作 原理 和 性 能 分 析 方 法 。 


4.1 ”局域网 技术 概论 


拓扑 结构 和 传输 介质 决定 了 各 种 LAN 的 特点 ， 决 定 了 它们 的 数据 速率 和 通信 效率 ， 也 决定 
了 适合 于 传输 的 数据 类 型 ， 甚 至 决定 了 网 络 的 应 用 领域 。 首 先 概述 各 种 局 域 网 使 用 的 拓扑 结构 和 
传输 介质 ， 同 时 介绍 两 种 不 同 的 数据 传输 系统 ， 最 后 引导 出 根据 以 上 特点 制定 的 IEEE 802 标准 。 


4.1.1 拓扑 结构 和 传输 介质 








1 总线 型 拓扑 


总 线 (如 图 4-1 (a) 所 示 ) 是 一 种 多 点 广播 介质 ， 所 有 的 站 点 都 通过 接口 硬件 连接 到 总 线 
上 。 工 作 站 发 出 的 数据 组 织 成 帧 ， 数 据 帧 沿 着 总 线 向 两 端 传播 ， 到 达 末 端的 信号 被 终端 匹配 器 
吸收 。 数 据 帧 中 含有 源 地址 和 目标 地 址 ， 每 个 工作 站 都 监视 总 线 上 的 信号 ， 并 复制 发 给 自己 的 
数据 帧 。 由 于 总 线 是 共享 介质 ， 多 个 站 点 同时 发 送 数据 时 会 发 生 冲 突 ， 因 而 需要 一 种 分 解 冲突 
的 介质 访问 控制 协议 。 传 统 的 轮 询 方式 不 适合 分 布 式 控制 ， 总 线 网 的 研究 者 开发 了 一 种 分 布 式 
竞争 发 送 的 访问 控制 方法 ， 本 章 将 介绍 这 种 协议 。 

适用 于 总 线 型 拓扑 的 传输 介质 主要 是 同 轴 电 缆 ， 分 为 基带 同 轴 电 缆 和 宽带 同 轴 电 缆 ， 这 两 
种 传输 介质 的 比较 如 表 4-1 所 示 。 


























表 4-1 总 线 网 的 传输 介质 














数据 速率 /Mbps 
10，50〔 限 制 距离 和 节点 数 ) 
500 个 信道 ， 每 个 信道 20 


传输 介质 
基带 同 轴 电 线 
宽带 同 轴 电 缆 
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(a) 总 线 型 

















0 
i 
(ce) 星 型 (d) 树 型 

图 4-1 局 域 网 的 拓扑 结构 











对 于 总 线 这 种 多 点 介质 ， 必 须 考虑 信号 平衡 问题 。 任 意 一 对 设备 之 间 传 输 的 信号 强度 必须 
调整 到 一 定 的 范围 :一 方面 ， 发 送 器 发 出 的 信号 不 能 太 大 ， 否 则 会 产生 有 和 害 的 谐 波 ， 使 得 接收 
电路 无 法 工作 ;， 另 一 方面 ， 经 过 一 定 距 离 的 传播 衰减 后 ， 到 达 接 收 端 的 信号 必须 足够 大 ， 能 驱 
动 接收 器 电路 , 还 要 有 一 定 的 信 噪 比 。 如 果 总 线 上 的 任何 一 个 设备 都 可 以 向 其 他 设备 发 送 数据 ， 
对 于 一 个 不 太 大 的 网 络 ， 壁 如 200 个 站 点 ， 则 设备 配对 数 是 39 800。 因 此 ， 要 同时 考虑 这 么 多 
对 设备 之 间 的 信号 平衡 问题 ， 从 而 设计 出 适用 的 发 送 器 和 接收 器 是 不 可 能 的 。 在 制定 网 络 标准 
时 ， 考 虑 到 这 一 问题 的 复杂 性 ， 所 以 把 总 线 划分 成 一 定 长 度 的 网 段 ， 并 限制 每 个 网 段 接 入 的 站 
点 数 。 

同 轴 电 线 分 为 传播 数字 信号 的 基带 同 轴 电 缆 和 传播 模拟 信号 的 宽带 同 轴 电 缆 。 宽 带电 缆 比 
基带 电缆 传输 的 距离 更 远 ， 还 可 以 使 用 频 分 多 路 技术 提供 多 个 信道 和 多 种 数据 传输 业务 ， 主 要 
用 在 城 域 网 中 ， 而 基带 系统 则 主要 用 于 室内 或 建筑 物 内 部 连 网 。 

1) 基带 系统 

数字 信号 是 一 种 电压 脉冲 ， 它 从 发 送 处 沿 着 基带 电费 向 两 端 均 匀 传 播 ， 这 种 情况 就 像 光 波 
在 (物理 学 家 们 杜撰 的 ) 以 太 介质 中 各 向 同性 地 均匀 传播 一 样 ， 所 以 总 线 网 的 发 明 者 把 这 种 网 
络 称 为 以 太 网 。 以 太 网 使 用 特性 阻抗 为 509 的 同 轴 电 缆 ， 这 种 电缆 具有 较 小 的 低频 电 噪声 ， 在 
接头 处 产生 的 反射 也 较 小 。 

一 般 来 说 ， 传 输 系统 的 数据 速率 与 电缆 长 度 、 接 头 数量 以 及 发 送 和 接收 电路 的 电气 特性 有 
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关 。 当 脉冲 信号 沿 电缆 传播 时 ， 会 发 生 衰减 和 畸变 ， 还 会 受到 噪音 和 其 他 不 利 因素 的 影响 。 传 
播 距离 越 长 ， 这 种 影响 越 大 ， 增 加 了 出 错 的 机 会 。 如 果 数 据 速率 较 小 ， 脉 冲 宽度 就 比较 宽 ， 比 
高 速 的 窄 脉冲 更 容易 恢复 ,因而 抗 噪声 特性 更 好 。 基带 系统 的 设计 需要 在 数据 速率 、 传 播 距离 、 
站 点 数量 之 间 进 行 权衡 。 一 般 来 说 ， 数 据 速率 越 小 ， 传 输 的 距离 越 远 ， 传 输 系统 (收发 器 和 
电缆 ) 的 电气 特性 越 好 ， 可 连接 的 站 点 数 就 越 多 。 表 4-2 列 出 了 IEEE 802.3 标准 中 对 两 种 基带 
电缆 的 规定 。 这 两 种 系统 的 数据 速率 都 是 10Mbps， 但 传输 距离 和 可 连接 的 站 点 数 不 同 ， 这 是 因为 
直径 为 0.4 英寸 的 电缆 比 直径 为 0.25 英寸 的 电费 性 能 更 好 ， 当 然 价格 也 较 晶 贵 。 


表 4-2 IEEE 802.3 中 两 种 基带 电缆 的 规定 


参数 10Base 2 
电费 直径 0.25in (RG-58) 
数据 速率 10Mbps 
最 大 段 长 185m 
传播 距离 1 000m 
每 段 节点 数 | 1 | » 
节点 距离 Osm 





若 要 扩展 网 络 的 长 度 ， 可 以 用 中 继 器 把 多 个 网 络 段 连接 起 来 ， 如 图 4-2 所 示 。 中 继 器 可 以 
接收 一 个 网 段 上 的 信号 ， 经 再 生 后 发 送 到 另 一 个 网 段 上 去 。 然 而 由 于 网 络 的 定时 特性 ， 不 能 无 
限制 地 使 用 中 继 器 , 表 4-2 中 的 两 个 标准 都 限制 中 继 器 的 数目 为 4 个 , 即 最 大 网 络 由 5 段 组 成 。 

2) 宽带 系统 

宽带 系统 是 指 采用 频 分 多 路 技术 传播 模拟 信号 的 系 
统 。 不 同 频率 的 信道 可 分 别 支 持 数据 通信 、TV 和 CD 质量 
的 音频 信号 。 模 拟 信号 比 数字 脉冲 受 噪声 和 衰减 的 影响 更 站 
小 ， 可 以 传播 更 远 的 距离 ， 甚 至 达到 100km。 

宽带 系统 使 用 特性 阻抗 为 75Q 的 CATV 电缆 。 根 据 系 
统 中 数 / 模 转 换 设备 采用 的 调制 技术 的 不 同 ，1lbps 的 数据 速 
率 可 能 需要 1 一 4Hz 的 带宽 , 而 支持 150Mbps 的 数据 速率 可 
能 需要 300MHz 的 带宽 。 

由 于 宽带 系统 中 需要 模拟 放大 器 ， 而 这 种 放大 器 只 能 单方 向 工作 ， 所 以 加 在 宽带 电缆 上 的 
信号 只 能 单方 向 传播 ， 这 种 方向 性 决定 了 在 同一 条 电缆 上 只 能 由 “上 游 站 ”发 送 ， 而 “下 游 站 ?” 
接收 ,相反 方向 的 通信 和 则 必须 采用 特殊 的 技术 。 有 两 种 技术 可 提供 双向 传输 : 一 种 是 双 缆 配 置 ， 
即 用 两 根 电缆 分 别提 供 两 个 方向 不 同 的 通路 (如 图 4-3 〈a) 所 示 ); 另 一 种 是 分 裂 配置 ， 即 把 
单 根 电缆 的 频带 分 裂 为 两 个 频率 不 同 的 子 通 道 ， 分 别传 输 两 个 方向 相反 的 信号 (如 图 4-3 (b) 


图 4-2 由 中 继 器 互 连 的 网 络 
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所 示 )。 双 线 配置 可 提供 双 倍 的 带宽 ， 而 分 裂 配 置 比 双 缆 配置 可 节约 大 约 15% 的 费用 。 






































天 
® 人 
i 品 [el 有 尖端 关 
(a) 双 缆 配置 (b) 分 裂 配置 


图 4-3 宽带 系统 的 两 种 配置 


两 种 电路 配置 都 需要 “ 端 头 ”来 连接 两 个 方向 不 同 的 通路 。 双 线 配置 中 的 端 头 是 无 源 端 头 ， 
朝向 端 头 的 通路 称 为 “入 径 ”， 离 开端 头 的 通路 称 为 “出 径 ”。 所 有 的 站 向 入 径 上 发 送信 号 ， 经 
端 头 转 接 后 发 向 出 径 ， 各 个 站 从 出 径 上 接收 数据 。 入 径 和 出 径 上 的 信号 使 用 相同 的 频率 。 

在 分 裂 配 置 中 使 用 有 源 端 头 ， 也 叫 频 率 变 换 端 头 。 所 有 的 站 以 频率 有 向 端 头 发 送 数 据 ， 经 
端 头 转换 后 以 频率 方向 总 线 上 广播 ， 目 标 站 以 太 接 收 数据 。 


2. 环 型 拓扑 


环 型 拓扑 由 一 系列 首尾 相 接 的 中 继 器 组 成 ， 每 个 中 继 器 连接 一 个 工作 站 (如 图 4-1 (b) 所 
示 )。 中 继 器 是 一 种 简单 的 设备 ， 它 能 从 一 端 接收 数据 ， 然 后 在 另 一 端 发 出 数据 。 整 个 环 路 是 
单 向 传输 的 。 

工作 站 发 出 的 数据 组 织 成 帧 。 在 数据 帧 的 帧 头 部 分 含有 源 地 址 和 目的 地 址 字段 ， 以 及 其 他 
控制 信息 。 数 据 帧 在 环 上 循环 传播 时 被 目标 站 复制 ， 返 回 发 送 站 后 被 回收 。 由 于 多 个 站 共享 环 
上 的 传输 介质 ， 所 以 需要 某 种 访问 逻辑 来 控制 各 个 站 的 发 送 顺 序 。 例 如 ， 用 一 种 特殊 的 控制 
帧 一 一 令 牌 来 代表 发 送 的 权利 ， 令 牌 在 网 上 循环 流动 ， 谁 得 到 令 牌 就 可 以 发 送 数据 帧 。 

由 于 环 网 是 一 系列 点 对 点 链 路 串 接 起 来 的 ， 所 以 可 使 用 任何 传输 介质 。 最 常用 的 介质 是 双 
绞 线 ， 因 为 它们 价格 较 低 。 使 用 同 轴 电 缆 可 得 到 较 高 的 带宽 ， 而 光纤 则 能 提供 更 大 的 数据 速率 。 
表 4-3 中 列 出 了 常用 的 几 种 传播 介质 的 有 关 参 数 。 


表 4-3 环 网 的 传输 介质 











传输 介质 数据 速率 /Mbps 中 继 器 之 间 的 距离 /km 中 继 器 个 数 
无 屏蔽 双 绞 线 4 0.1 和 2 
屏蔽 双 绞 线 16 03 250 








基带 同 轴 电 缆 16 1.0 250 
光纤 100 2.0 240 
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3. 星 型 拓扑 


星 型 拓扑 中 有 一 个 中 心 节点 ， 所 有 站 点 都 连接 到 中 心 节点 上 。 电 话 系统 就 采用 了 这 种 拓扑 

结构 ， 多 终端 联机 通信 系统 也 是 星 型 结构 的 例子 。 中 心 节点 在 星 型 网 络 中 起 到 了 控制 和 交换 的 
作用 ， 是 网 络 中 的 关键 设备 。 星 型 拓扑 的 网 络 布局 如 图 4-1 (c) 所 示 。 
用 星 型 拓扑 结构 也 可 以 构成 分 组 广播 式 的 局 域 网 。 在 这 种 网 络 中 ， 每 个 站 都 用 两 对 专线 连 
接 到 中 心 节 点 上 ， 一 对 用 于 发 送 ， 一 对 用 于 接收 。 中 心 节点 叫 作 集线器 (Hub)。Hub 接收 工作 
站 发 来 的 数据 帧 ， 然 后 向 所 有 的 输出 链 路 广播 出 去 。 当 有 多 个 站 同时 向 Hub 发 送 数据 时 就 会 产 
生 冲 突 ， 这 种 情况 和 总 线 拓扑 中 的 竞争 发 送 一 样 ， 因 而 总 线 网 的 介质 访问 控制 方法 也 适用 于 星 
型 网 。 

Hub 有 两 种 形式 , 一 种 是 有 源 Hub, 另 一 种 是 无 源 Hub。 有 源 Hub 中 配置 了 信号 再 生 风 辑 ， 
这 种 电路 可 以 接收 输入 链 路 上 的 信号 ， 经 再 生 后 向 所 有 输出 链 路 发 送 。 如 果 多 个 输出 链 路 同时 
有 信号 输入 ， 则 向 所 有 输出 链 路 发 送 冲 突 信号 。 

无 源 Hub 中 没有 信号 再 生 电 路 ， 这 种 Hub 只 是 把 输入 链 路 上 的 信号 分 配 到 所 有 的 输出 链 
路 上 。 如 果 使 用 的 介质 是 光纤 ， 则 可 以 把 所 有 的 输入 光纤 熔 焊 到 玻璃 柱 的 两 端 ， 如 图 4-4 所 示 。 
当 有 光 信号 从 输入 端 进来 时 就 照 亮 了 玻璃 柱 ， 从 而 也 照 亮 了 所 有 输出 光纤 ， 这 样 就 起 到 了 光 信 
号 的 分 配 作 用 。 




















接收 器 、， 


发 送 器 一- 


输入 光 信号 照 亮 整个 无 源 Hub 输出 光纤 得 到 所 有 光 信 









































中 


图 4-4 无 源 星 型 光纤 网 


任何 有 线 传输 介质 都 可 以 使 用 有 源 Hub, 也 可 以 使 用 无 源 Hub。 为 了 达到 较 高 的 数据 速率 ， 
必须 限制 工作 站 到 中 心 节点 的 距离 和 连接 的 站 点 数 。 一 般 来 说 , 无 源 Hub 用 于 光纤 或 同 轴 电 线 
网 络 ， 有 源 Hub 则 用 于 无 屏蔽 双 绞 线 网 络 。 表 4-4 列 出 了 有 代表 性 的 网 络 参数 。 


表 4-4 星 型 网 的 传输 介质 


从 站 到 中 心 节点 的 距离 /km 
0.5 (1Mbps), 0.1 (10Mbps) 


<1 















传输 介质 数据 速率 /Mbps 
无 屏蔽 双 绞 线 。 “| 1 一 10 





基带 同 轴 电 缆 








70 
10 一 20 
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为 了 延长 星 型 网 络 的 传输 距离 和 扩大 网 络 的 规模 ， 可 以 把 多 个 Hub 级 连 起 来 , 组 成 树 型 结 
构 ， 如 图 4-1 (d) 所 示 。 这 棵 树 的 根 是 头 Hub， 其 他 节点 叫 中 间 Hub， 每 个 Hub 都 可 以 连接 多 
个 工作 站 和 其 他 Hub， 所 有 的 叶子 节点 都 是 工作 站 。 图 4-5 抽象 地 表示 出 头 Hub 和 中 间 Hub 的 





完成 了 单个 Hub 同样 的 功能 : 一 个 站 发 出 的 信号 经 Hub 转 接 , 所 有 的 站 都 能 收 到 


区 别 。 头 Hub 可 以 完成 上 述 Hub 的 基本 功能 ， 然 而 中 间 Hub 的 作用 是 把 任何 输入 链 路 上 送 来 
的 信号 向 上 级 Hub 传送 ， 同 时 把 上 级 送 来 的 信号 向 所 有 的 输出 链 路 广播 。 这 样 ， 整 棵 Hub 树 就 


。 如 果 有 两 个 


站 同时 发 送 ， 头 Hub 会 检测 到 冲突 ， 并 向 所 有 的 中 间 Hub 和 工作 站 发 送 冲突 信号 。 


tt Ht 


(a) 头 Hub (b) 中 间 Hub 


图 4-5 头 Hub 和 中 间 Hub 


4.1.2 LAN/MAN 的 IEEE 802 标准 


IEEE 802 委员 会 的 任务 是 制定 局 域 网 和 城 域 网 标准 ， 目 前 有 20 多 个 分 委员 会 ， 它 们 研究 


的 内 容 如 下 。 
(1) 802.1 研究 局 域 网 体系 结构 、 寻 址 、 网 络 互 联 和 网 络 管理 。 
(2) 802.2 研究 逻辑 链 路 控制 子 层 (LLC》 的 定义 。 
(3) 802.3 研究 以 太 网 介质 访问 控制 协议 CSMA/CD 及 物理 层 技 术 规 范 。 
(4 


Re 


802.4 研究 令 牌 总 线 网 Token-Bus) 的 介质 访问 控制 协议 及 物理 层 技术 规范 。 


(5) 802.5 研究 令 牌 环 网 (Token-Ring) 的 介质 访问 控制 协议 及 物理 层 技术 规范 。 


(6) 802.6 研究 城 域 网 介质 访问 控制 协议 DQDB 及 物理 层 技术 规范 。 

(7) 802.7 宽带 技术 咨询 组 ， 提 供 有 关 宽 带 联网 的 技术 咨询 。 

(8) 802.8 光纤 技术 咨询 组 ， 提 供 有 关 光 纤 联 网 的 技术 咨询 。 

(9) 802.9 研究 综合 声音 数据 的 局 域 网 (IVD LAN) 介质 访问 控制 协议 及 物理 
(10) 802.10 网 络 安全 技术 咨询 组 ， 定 义 了 网 络 互 操作 的 认证 和 加 密 方 法 。 


NM 





E 层 技术 规范 。 


(11) 802.11 研究 无 线 局 域 网 WLAN) 的 介质 访问 控制 协议 及 物理 层 技术 规范 。 


(12)〉 802.12 研究 需求 优先 的 介质 访问 控制 协议 (100VG-AnyLAN)。 





(13) 802.14 研究 采用 线 线 调制 解 调 器 (Cable Modem) 的 交互 式 电视 介质 访问 控制 协议 及 


物理 层 技术 规范 。 
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(14) 802.15 研究 采用 蓝牙 技术 的 无 线 个 人 网 (Wireless Personal Area Network，WPAN) 
技术 规范 。 

(15) 802.16 宽带 无 线 接 入 工作 组 ， 开 发 2 一 66GHfz 的 无 线 接 入 系统 空中 接口 。 

(16) 802.17 弹性 分 组 环 (RPR) 工作 组 ， 制 定 了 弹性 分 组 环 网 访问 控制 协议 及 有 关 标 准 。 

(17) 802.18 宽带 无 线 局 域 网 技术 咨询 组 (Radio Regulatory )。 

(18) 802.19 多 重 虚拟 局 域 网 共存 〈Coexistence) 技术 咨询 组 。 

(19) 802.20 移动 宽带 无 线 接 入 (MBWA) 工作 组 ， 正 在 制定 宽带 无 线 接 入 网 的 解决 方案 。 

(20) 802.21 研究 各 种 无 线 网 络 之 间 的 切换 问题 ， 正 在 制定 与 介质 无 关 的 切换 业务 (MIH) 
标准 。 

(21) 802.22 无 线 区 域 网 (Wireless Regional Area Network，WRAN) 工作 组 ， 正 在 制定 利 
用 感知 无 线 电 技术 ， 在 广播 电视 频段 的 空白 频道 进行 无 干扰 无 线 广播 的 技术 标准 。 

由 于 局 域 网 是 分 组 广播 式 网 络 ， 网 络 层 的 路 由 功能 是 不 需要 的 ， 所 以 在 IEEE 802 标准 中 ， 
网 络 层 简化 成 了 上 层 协议 的 服务 访问 点 SAP。 又 由 于 局 域 网 使 用 多 种 传输 介质 ， 而 介质 访问 控 
制 协议 与 具体 的 传输 介质 和 拓扑 结构 有 关 ， 所 以 ，IEEE 802 标准 把 数据 链 路 层 划分 成 了 两 个 子 
层 。 与 物理 介质 相关 的 部 分 叫 作 介质 访问 控制 (Media Access Control，MAC) 子 层 ， 与 物理 介 
质 无 关 的 部 分 叫 作 罗 辑 链 路 控制 (Logical Access Control，LLC) 子 层 。LLC 提供 标准 的 OSI 
数据 链 路 层 服务 ， 这 使 得 任何 高 层 协议 〈 例 如 TCP/I 了 PP、SNA 或 有 关 的 OSI 标准 ) 都 可 运行 于 
局 域 网 标准 之 上 。 局 域 网 的 物理 层 规 定 了 传输 介质 及 其 接口 的 电气 特性 、 机 械 特性 、 接 口 电 路 
的 功能 ， 以 及 信 令 方式 和 信号 速率 等 。 整 个 局 域 网 的 标准 以 及 与 OSI 参考 模型 的 对 应 关系 如 图 
4-6 所 示 。 

从 图 4-6 中 可 以 看 出 , 局 域 网 标准 没有 规定 
高 层 的 功能 ， 高 层 功 能 往往 与 具体 的 实现 有 关 ， 
包含 在 网 络 操作 系统 (NOS) 中， 而 且 大 部 分 
NOS 的 功能 都 是 与 OSURM 或 通行 的 工业 标准 




















协议 兼容 的 。 上进 得 链 路 控制 子 层 
局 域 网 的 体系 结构 说 明 ， 在 数据 链 路 层 应 介质 访问 控制 子 层 
当 有 两 种 不 同 的 协议 数据 单元 : LLC 帧 和 MAC 物理 层 











帧 ， 这 两 种 帧 的 关系 如 图 4-7 所 示 。 从 高 层 来 的 

数据 加 上 LLC 的 帧 头 就 成 为 LLC 帧 , 再 向 下 传 “图 4.6 局 域 网 体系 结构 与 OSVRM 的 对 应 关系 
送 到 MAC 子 层 加 上 MAC 的 帧 头 和 帧 尾 ， 组 成 MAC 帧 。 物 理 层 则 把 MAC 帧 当 作 比特 流 透明 
地 在 数据 链 路 实体 间 传 送 。 
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图 4-7 LELC 帧 和 MAC 帧 的 关系 


4.2 ”逻辑 链 路 控制 子 层 


逻辑 链 路 控制 子 层 规范 包含 在 下 EE 802.2 标准 中 。 这 个 标准 与 HDLC 是 兼容 的 ， 但 使 用 
的 帧 格式 有 所 不 同 。 这 是 由 于 HDLC 的 标志 和 位 填充 技术 不 适合 局 域 网 ， 因 而 被 排除 ， 而 且 帧 
校 验 序列 由 MAC 子 层 实现 , 因而 也 不 包含 在 LLC 帧 结构 中 。 另 外 , 为 了 适合 局 域 网 中 的 寻 址 ， 
地 址 字段 也 有 所 改变 ， 同 时 提供 目标 地 址 和 源 地 址 。LLC 帧 格式 如 图 4-8 所 示 ， 帧 的 类 型 如 表 


4-5 所 示 。 





























8 位 8 位 8 位 或 16 位 MX8 位 
(a) 帧 结构 
VG=0 单 地 址 C/R=0 ”命令 
IJG=1 组 地 址 C/R=1 响应 
(b) 地 址 字段 
0 N(S) | P/F N(R) 
信息 帧 
1 o | SS [oo0ool N(R) 
管理 帧 
1 1 MM P/F MMM 
无 编号 帧 
(c) 控制 字段 


N(S): 发 送 顺序 号 。 M: 无 编号 帧 功能 位 。 P/F: 询问 /终止 位 
N(R): 接收 顺序 号 。 S: 管理 帧 功能 位 
图 4-8 LLC 帧 格式 
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表 4-5 LLC 帧 类 型 























控制 字段 编码 命 令 响 应 
1. 无 确认 无 连接 服务 
1100*000 UI 无 编号 信息 Xip ”交换 标识 
无 编号 帧 1111*101 XID ”交换 标识 、 
了 TEST 测试 
1100*111 TEST ”测试 
2. 连接 方式 服务 
信息 帧 0-N(S)-*N(R) |I 信息 I 信息 
管理 帧 10000000*N(R) | RR 接收 准备 好 RR ”接收 准备 好 
10100000*N(R) | RNR ”接收 未 准备 好 RNR ”接收 未 准备 好 
10010000*N(R) | REJ ”拒绝 REJ ”拒绝 
无 编号 帧 1111*110 SABME 和 置 扩充 异步 平衡 方式 
1100*010 DISC ” 断 开 
1100*110 UA ”无 编号 确认 
1111*000 DM ” 断 开 方 式 
1110*001 FRMR ，” 帧 拒绝 
3. 有 确认 无 连接 服务 
区 1110*110 AC1 无 连接 确认 
1110*111 AC1 ”无 连接 确认 AC0 ”无 连接 确认 
4.2.1 LLC 地 址 


LLC 地 址 是 LLC 层 服务 访问 点 。IEEE 802 局 域 网 中 的 地 址 分 两 级 表示 ， 主 机 的 地 址 是 MAC 
地 址 ，LLC 地 址 实际 上 是 主机 中 上 层 协 议 实 体 的 地 址 。 一 个 主机 可 以 同时 拥有 多 个 上 层 协 议 进 
程 ， 因 而 就 有 多 个 服务 访问 点 。IEEE 802.2 中 的 地 址 字段 分 别 用 DSAP 和 SSAP 表示 目标 地 址 
和 源 地 址 (如 图 4-8 所 示 )， 这 两 个 地 址 都 是 7 位 长 ， 相 当 于 HDLC 中 的 扩展 地 址 格式 。 另 外 
增加 的 一 种 功能 是 可 提供 组 地 址 ， 如 图 中 的 VG 位 所 示 。 组 地 址 表示 一 组 用 户 ， 而 全 1 地 址 表 
示 所 有 用 户 。 在 源 地 址 字段 中 的 控制 位 C/R 用 于 区 分 命令 帧 和 响应 帧 。 


4.2.2 LLC 服务 




















LLC 提供 了 以 下 3 种 服务 。 

(1) 无 确认 无 连接 的 服务 。 这 是 数据 报 类 型 的 服务 ， 这 种 服务 因 其 简单 而 不 涉及 任何 流 控 
和 差错 控制 功能 ， 因 而 也 不 保证 可 靠 地 提交 。 使 用 这 种 服务 的 设备 必须 在 高 层 软件 中 处 理 可 靠 
性 问题 。 
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(2) 连接 方式 的 服务 。 这 种 服务 类 似 于 HDLC 提供 的 服务 ,在 有 数据 交换 的 用 户 之 间 要 建 
立 连接 ， 同 时 也 通过 连接 提供 流 控 和 差错 控制 功能 。 

(3) 有 确认 无 连接 的 服务 。 这 种 服务 与 前 面 两 种 服务 有 所 交叉 ， 它 提供 有 确认 的 数据 报 ， 
但 不 建立 连接 。 

这 3 种 服务 是 可 选择 的 。 用 户 可 根据 应 用 程序 的 需要 选择 其 中 一 种 或 多 种 服务 。 一 般 来 说 ， 
无 确认 无 连接 的 服务 用 在 以 下 两 种 情况 : 一 种 是 高 层 软 件 具 有 流 控 和 差错 控制 机 制 ， 因 而 LLC 
子 层 就 不 必 提 供 重复 的 功能 ， 例 如 TCP 或 ISO 的 TP4 传输 协议 就 是 这 样 的 ， 另 一 种 情况 是 连 
接 的 建立 和 维护 机 制 会 引起 不 必要 的 开销 ， 因 而 必须 简化 控制 。 例 如 ， 周 期 性 的 数据 采集 或 网 
络 管理 等 应 用 场合 ， 偶 然 的 数据 丢失 是 允许 的 ， 随 后 来 到 的 数据 可 以 弥补 前 面 的 损失 ， 所 以 不 
必 保证 每 一 个 数据 都 能 可 靠 地 提交 。 

连接 方式 的 服务 可 以 用 在 简单 设备 中 ， 例 如 终端 控制 器 ， 它 只 有 很 简单 的 上 层 协议 软件 ， 
因而 由 数据 链 路 层 硬 件 实现 流 控 和 差错 控制 功能 。 

有 确认 无 连接 的 服务 有 高 效 而 可 靠 的 特点 ， 适 合 于 传送 少量 的 重要 数据 。 例 如 ， 在 过 程控 
制 和 工厂 自动 化 环境 中 ， 中 心 站 需要 向 大 量 的 处 理 机 或 可 编程 控制 器 发 送 控制 指令 。 由 于 控制 
指令 的 重要 性 ， 所 以 需要 确认 。 但 如 果 采 用 连接 方式 的 服务 ， 则 中 心 站 必然 要 建立 大 量 的 连接 ， 
数据 链 路 层 软件 也 要 为 建立 连接 、 跟 踪 连 接 的 状态 而 设置 和 维护 大 量 的 表格 。 这 种 情况 下 使 用 
有 确认 无 连接 的 服务 更 有 效 。 另 外 一 个 例子 是 传送 重要 而 时 间 紧 迫 的 告警 或 紧急 控制 信号 。 由 
于 重要 ， 所 以 需要 确认 ; 由 于 紧急 ， 所 以 要 省 去 建立 连接 的 时 间 开 销 。 

4.2.3 LLC 协议 


LLC 协议 与 HDLC 协议 兼容 (如 表 4-5 所 示 )， 它 们 之 间 的 差别 如 下 。 

(1) LLC 用 无 编号 信息 帧 支持 无 连接 的 服务 ， 这 叫 LLC 1 型 操作 。 

(2) LLC 用 HDLC 的 异步 平衡 方式 支持 LLC 的 连接 方式 服务 , 这 种 操作 叫 LLC 2 型 操作 。 
LLC 不 支持 HDLC 的 其 他 操作 。 

(3) LLC 用 两 种 新 的 无 编号 帧 支持 有 确认 无 连接 的 服务 ， 这 叫 LLC 3 型 操作 。 

(4) 通过 LLC 服务 访问 点 支持 多 路 复 用 ， 即 一 对 LLC 实体 间 可 建立 多 个 连接 。 

这 3 类 LLC 操作 都 使 用 同样 的 帧 格式 ， 如 图 4-8 所 示 。LLC 控制 字段 使 用 LLC 的 扩展 
格式 。 

LLC 1 型 操作 支持 无 确认 无 连接 的 服务 。 无 编号 信息 帧 〈UI) 用 于 传送 用 户 数据 。 这 里 没 
有 流 控 和 差错 控制 ， 差 错 控制 由 MAC 子 层 完成 。 另 外 ， 有 两 种 帧 XID 和 TEST 用 于 支持 与 3 
种 协议 都 有 关 的 管理 功能 。XID 帧 用 于 交换 两 类 信息 : LLC 实体 支持 的 操作 和 窗口 大 小 ; 而 
TEST 帧 用 于 进行 两 个 LLC 实体 间 的 通路 测试 。 当 一 个 LLC 实体 收 到 TEST 命令 帧 后 , 应 尽快 


第 4 章 “局 域 网 与 城 域 网 “ 通 103 莉 


发 回 TEST 响应 帧 。 

LLC 2 型 操作 支持 连接 方式 的 服务 。 当 LLC 实体 得 到 用 户 的 要 求 后 可 发 出 置 扩展 的 异步 平 
衡 方式 帧 SABME， 另 一 个 站 的 LLC 实体 请 求 建立 连接 。 如 果 目 标 LLC 实体 同意 建立 连接 ， 
则 以 无 编号 应 答 帧 UA 回答 ， 否 则 以 断 开 连 接应 答 帧 DM 回答 。 建 立 的 连接 由 两 端的 服务 访问 
点 唯一 地 标识 。 

连接 建立 后 ， 使 用 工 帧 传送 数据 。I 帧 包含 发 送 /接收 顺序 号 ， 用 于 流 控 和 撒 带 应 答 。 另 外 ， 
还 有 管理 帧 辅助 进行 流 控 和 差错 控制 。 数据 发 送 完成 后 , 任何 一 端的 LLC 实体 都 可 发 出 断 连 帧 
DISC 来 终止 连接 。 这 些 与 HDLC 是 完全 相同 的 。 

LLC 3 型 操作 支持 有 确认 无 连接 的 服务 ， 要 求 每 个 帧 都 要 应 答 。 这 里 使 用 了 一 种 新 的 无 连 
接应 答 帧 AC (Acknowledged Connectionless)。 信 息 通过 AC 命令 帧 发 送 ， 接 收 方 以 AC 响应 帧 
回答 。 为 了 防止 帧 的 丢失 ， 使 用 了 1 位 序列 号 。 发 送 者 交替 在 AC 命令 帧 中 使 用 0 和 1， 接 收 
者 以 相反 序号 的 AC 帧 回答 ， 这 类 似 于 停 等 协议 中 发 生 的 过 程 。 


4.3 IEEE 802.3 标准 


对 总 线 型 . 星 型 和 树 型 拓扑 最 适合 的 介质 访问 控制 协议 是 CSMAVCD(Carrier Sense Multiple 
Access/Collision Detection)。 早 期 对 CSMA/CD 协议 有 较 大 影响 的 是 20 世纪 70 年 代 美 国 夏威夷 
大 学 建立 的 ALOHA 网 络 ， 其 中 运行 的 ALOHA 协议 的 效率 只 有 0.184， 即 使 是 经 过 改进 的 分 
档 的 ALOHA 协议 效率 也 只 有 0.368， 大 部 分 时 间 都 被 工作 站 之 间 的 竞争 发 送 浪费 了 ， 后 来 制 
定 的 CSMA/CD 协议 效率 则 要 高 得 多 ， 详 见 下 面 的 分 析 。 

4.3.1 CSMA/CD 协议 


ALOHA 系统 效率 不 高 ， 主 要 缺点 是 各 个 工作 站 独立 地 决定 发 送 的 时 刻 ， 使 得 冲突 概率 很 
高 ， 信 道 利用 率 下 降 。 如 果 各 个 站 在 发 送 之 前 先 监听 信道 上 的 发 送 情况 ， 信 道 忙 时 后 退 一 段 时 
间 再 发 送 ， 就 可 大 大 减少 冲突 概率 。 这 就 是 在 局 域 网 上 广泛 采用 的 载波 监听 多 路 访问 (CSMA) 
协议 。 对 于 局 域 网 ， 监 听 是 很 容易 做 到 的 。 在 局 域 网 中 ， 最 远 两 个 站 之 间 的 传播 时 延 很 小 只 
有 几 微 秒 ， 只 要 有 站 在 发 送 ， 别 的 站 很 快 就 会 听 到 ， 从 而 可 避免 与 正在 发 送 的 站 产生 冲突 。 同 
时 ， 帧 的 发 送 时 间 # 相 对 于 网 络 延 迟 要 大 得 多 ， 一 个 帧 一 旦 开始 成 功 地 发 送 ， 则 在 较 长 一 段 时 
间 内 可 保持 网 络 中 有 效 地 传输 ， 从 而 大 大 提高 了 信道 利用 率 。 

CSMA 的 基本 原理 是 : 站 在 发 送 数据 之 前 ， 先 监听 信道 上 是 否 有 别 的 站 发 送 的 载波 信号 。 
车 有 ， 说 明 信 道 正 忙 ， 否 则 说 明 信 道 是 空闲 的 ， 然 后 根据 预定 的 策略 决定 : 

(1) 若 信道 空头 ， 是 否 立 即 发 送 。 

(2) 若 信 道 忙 ， 是 否 继续 监听 。 
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即使 信道 空闲 ， 若 立即 发 送 仍然 会 发 生 冲突 。 一 种 情况 是 远 端的 站 刚 开 始 发 送 ， 载 波 信号 
尚未 到 达 监 听 站 ， 这 时 监听 站 若 立 即 发 送 ， 就 会 和 远 端的 站 发 生 冲 突 ; 另 一 种 情况 是 虽然 暂时 
没有 站 发 送 ， 但 碰巧 两 个 站 同时 开始 监听 ， 如 果 它 们 都 立即 发 送 ， 也 会 发 生 冲突 。 所 以 ， 上 面 
的 控制 策略 的 第 (1)》 点 就 是 想 要 避免 这 种 虽然 稀少 、 但 仍 可 能 发 生 的 冲突 。 若 信道 忙 时 ， 如 
果 坚 持 监听 ， 发 送 的 站 一 旦 停止 就 可 立即 抢占 信道 。 但 是 ， 有 可 能 几 个 站 同时 都 在 监听 ， 同 时 
都 抢占 信道 ， 从 而 发 生 冲 突 。 以 上 控制 策略 的 第 〈2) 点 就 是 进一步 优化 监听 算法 ， 使 得 有 些 
监听 站 或 所 有 监听 站 都 后 退 一 段 随机 时 间 再 监听 ， 以 避免 冲突 。 
1. 监听 算法 
监听 算法 并 不 能 完全 避免 发 送 冲突 ， 但 若 对 以 上 两 种 控制 策略 进行 精心 设计 ， 则 可 以 把 冲 
突 概率 减 到 最 小 。 据 此 ， 有 以 下 3 种 监听 算法 〈 如 图 4-9 所 示 )。 
非 坚持 型 


常数 或 可 变 延 迟 。| 一 ”如 果 空 闲 , 则 发 送 
否则 后 退 , 再 试 


信道 位 


{ | 
准 各 发送 /一 和 
1 坚持 型 


P- 坚 持 型 
只 要 信道 变 闲 , 就 可 立即 发 送 ”信道 变 闲 时 以 概率 P 发 送 ， 
如 果 冲 突 , 后 退 再 试 否则 延迟 一 个 时 模 


图 4-9 三 种 监听 算法 








(1) 非 坚 持 型 监听 算法 。 这 种 算法 可 描述 如 下 : 当 一 个 站 准备 好 帧 ， 发 送 之 前 先 监听 信道 。 

@ 若 信道 空间 ， 立 即 发 送 ， 否 则 转 @。 

@ 若 信道 已 ， 则 后 退 一 个 随机 时 间 ， 重 复 GD。 

由 于 随机 时 延 后 退 ， 从 而 减少 了 冲突 的 概率 。 然 而 ， 可 能 出 现 的 问题 是 因为 后 退 而 使 信道 
闲置 一 段 时 间 ， 这 使 信道 的 利用 率 降低 ， 而 且 增 加 了 发 送 时 延 。 

(2) 1- 坚 持 型 监听 算法 。 这 种 算法 可 描述 如 下 : 当 一 个 站 准备 好 帧 ， 发 送 之 前 先 监听 信道 。 

@ 车 信道 空间 ， 立 即 发 送 ， 否 则 转 @)。 

@ 若 信 道 已 ， 继 续 监听 ， 直 到 信道 空闲 后 立即 发 送 。 

这 种 算法 的 优 缺点 与 前 一 种 正好 相反 : 有 利于 抢占 信道 ， 减 少 信道 空闲 时 间 。 但 是 ， 多 个 
站 同时 都 在 监听 信道 时 必然 会 发 生 冲 突 。 
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(3) P- 坚 持 型 监听 算法 。 这 种 算法 汲取 了 以 上 两 种 算法 的 优点 ， 但 较为 复杂 。 这 种 算法 描 
述 如 下 。 

@ 若 信道 空间 ， 以 概率 妃 发 送 ， 以 概率 〈1-P) 延迟 一 个 时 间 单 位 。 一 个 时 间 单 位 等 于 网 
络 传输 时 延 r 


@ 若 信 道 已 ， 继 续 监 听 直 到 信道 空闲 ， 转 〇 D。 

图 如 果 发 送 延 迟 一 个 时 间 单 位 zs， 则 重复 @。 

困难 的 问题 是 决定 概率 P 的 值 ，P 的 取 值 应 在 重负 载 下 能 使 网 络 有 效 地 工作 。 为 了 说 明 P 
的 取 值 对 网 络 性 能 的 影响 ， 假 设 有 个 站 正在 等 待 发 送 ， 与 此 同时 ， 有 一 个 站 正在 发 送 。 当 这 
个 站 发 送 停 止 时 ， 实 际 要 发 送 的 站 数 等 于 naP。 若 nP 大 于 1， 则 必 有 多 个 站 同时 发 送 ， 这 必然 
会 发 生 冲 突 。 这 些 站 感觉 到 冲突 后 若 重 新 发 送 ， 就 会 再 一 次 发 生 冲 突 。 更 糟 的 是 其 他 站 还 可 能 
产生 新 帧 ， 与 这 些 未 发 出 的 帧 竞争 ， 更 加 剧 了 网 上 的 冲突 。 极 端 情况 下 会 使 网 络 吞 吐 率 下 降 到 
0。 若 要 避免 这 种 灾难 ， 对 于 某 种 n 的 峰值 ，nP 必须 小 于 1。 然 而 ， 若 己 值 太 小 ， 发 送 站 就 要 
等 待 较 长 的 时 间 。 在 轻 负载 的 情况 下 ， 这 意味 着 较 大 的 发 送 时 延 。 例 如 ， 只 有 一 个 站 有 帧 要 发 
送 ， 若 P=0.1， 则 以 上 算法 的 第 @ 步 重复 的 平均 次 数 为 /P=10， 也 就 是 说 ， 这 个 站 平均 多 等 待 
9 倍 的 时 间 单位 

各 种 监听 算法 以 及 ALOHA 算法 中 网 络 负载 和 信道 利用 率 的 关系 曲线 如 图 4-10 所 示 。 可 
以 看 出 ， 已 值 小 的 监听 算法 对 信道 的 利用 率 有 利 ， 但 是 引入 了 较 大 的 发 送 时 延 。 


0.01- 坚 持 CSMA 











不 坚持 CSMA 


0.1- 坚 持 CSMA 





图 4-10 各 种 随机 访问 协议 的 G-S 曲线 


2. 冲突 检测 原理 
载波 监听 只 能 减 小 冲突 的 概率 ， 不 能 完全 避免 冲突 。 当 两 个 帧 发 生 冲突 后 ， 若 继续 发 送 ， 
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将 会 浪费 网 络 带宽 。 如 果 帧 比较 长 ， 对 带宽 的 浪费 就 大 了 。 为 了 进一步 改进 带宽 的 利用 率 ， 发 
送 站 应 采取 边 发 边 听 的 冲突 检测 方法 ， 即 ; 

(1) 发 送 期 间 同时 接收 ， 并 把 接收 的 数据 与 站 中 存储 的 数据 进行 比较 。 

(2) 若 比较 结果 一 致 ， 说 明 没有 冲突 ， 重 复 (1)。 

(3) 若 比 较 结果 不 一 致 ， 说 明 发 生 了 冲突 ， 立 即 停止 发 送 ， 并 发 送 一 个 简短 的 干扰 信号 


(Jamming)， 使 所 有 站 都 停止 发 送 。 
(4) 发 送 Jamming 信号 后 ， 


等 待 一 段 随机 长 的 时 间 ， 重 新 监听 ， 再 试 着 发 送 。 


带 冲突 检测 的 监听 算法 把 浪费 带宽 的 时 间 减 少 到 检测 冲突 的 时 间 。 对 局 域 网 来 说 ， 这 个 时 
间 是 很 短 的 。 在 图 4-11 中 画 出 了 基带 系统 中 检测 冲突 需要 的 最 长 时 间 。 这 个 时 间 发 生 在 网 络 中 
相距 最 远 的 两 个 站 (A 和 D) 之 间 。 在 时 刻 ，A 开始 发 送 。 假 设 经 过 一 段 时 间 r( 网 络 最 大 传 


播 时 延 ) 后 ，D 开始 发 送 。D 立即 就 会 检 
测 到 冲突 ， 并 能 很 快 停止 。 但 A 仍然 感觉 


-~ 




























































































不 到 冲突 ， 并 继续 发 送 。 再 经 过 一 段 时 间 。 “站 下 中 再 
t，A 才 会 收 到 冲突 信号 ， 从 而 停止 发 送 。 ee 
可 见 , 在 基带 系统 中 检测 冲突 的 最 长 时 间 号 = 一 = 医 E 梧 
是 网 络 传播 延迟 的 两 倍 ， 把 这 个 时 间 叫 作 。 ‘++ | 
冲突 窗口 。 [sa| [a] [Id bb 
与 冲突 窗口 相关 的 参数 是 最 小 帧 长 。 冲突 由 
设想 图 4-11 中 的 A 站 发 送 的 帧 较 短 ， 在 | | 
2t 时 间 内 已 经 发 送 完毕 , 这 样 A 站 在 整个 人 
发 送 期 间 将 检测 不 到 冲突 。 为 了 避免 这 种 站 
情况 ， 网 络 标准 中 根据 设计 的 数据 速率 和 图 4-11 以 太 网 中 的 冲突 时 间 
最 大 网 段 长 度 规定 了 最 小 帧 长 Pan。 
Toin =2RXd/v (4.1) 
这 里 R 是 网 络 数据 速率 ，q 为 最 大 段 长 ，v 是 信号 传播 速度 。 有 了 最 小 帧 长 的 限制 ， 发 送 





站 必须 对 较 短 的 帧 增加 填充 位 ， 使 其 等 于 最 小 帧 长 。 接 收 站 对 收 到 的 帧 要 检查 长 度 ， 小 于 最 小 


帧 长 的 帧 被 认为 是 冲突 碎片 而 丢弃 。 
3. 二 进程 指数 后 退 算法 


上 文 提 到 ,检测 到 冲突 发 送 干扰 信号 后 退 一 段 时 间 重 新 发 送 。 后 退 时 间 的 多 少 对 网 络 的 稳 
定 工 作 有 很 大 影响 。 特 别 是 在 负载 很 重 的 情况 下 ， 为 了 避免 很 多 站 连续 发 生 冲 突 ， 需 要 设计 有 
效 的 后 退 算法 。 按 照 二 进 制 指数 后 退 算法 ， 后 退 时 延 的 取 值 范 围 与 重 发 次 数 形成 二 进 制 指数 
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关系 。 或 者 说 ， 随 着 重 发 次 数 n 的 增加 ， 后 退 时 延 如 的 取 值 范围 按 2 的 指数 增 大 。 即 第 一 次 试 
发 送 时 的 值 为 0， 每 冲突 一 次 n 的 值 加 1， 并 按 下 式 计算 后 退 时 延 。 
gi 2] 


(4.2) 
tf.=6r 


其 中 ， 第 一 式 是 在 区 间 [0,2"] 中 取 一 均匀 分 布 的 随机 整数 6， 第 二 式 是 计算 出 随机 后 退 时 延 。 为 
了 避免 无 限制 的 重 发 ， 要 对 重 发 次 数 n 进行 限制 ， 这 种 情况 往往 是 信道 故障 引起 的 。 通 常 当 n 
增加 到 某 一 最 大 值 〈 例 如 16〉 时， 停止 发 送 ， 并 向 上 层 协议 报告 发 送 错 误 。 

当然 ， 还 可 以 用 其 他 的 后 退 算法 ， 但 二 进 制 指数 后 退 算法 考虑 了 网 络 负载 的 变化 情况 。 事 
实 上 ， 后 退 次 数 的 多 少 往往 与 负载 大 小 有 关 ， 二 进 制 指数 后 退 算法 的 优点 正 是 把 后 退 时 延 的 平 
均 取 值 与 负载 的 大 小 联系 了 起 来 。 


4. CSMA/CD 协议 的 实现 








对 于 基带 总 线 和 宽带 总 线 ，CSMA/CD 的 实现 基本 上 是 相同 的 ， 但 也 有 一 些 差 别 。 差 别 之 
一 是 载波 监听 的 实现 。 对 于 基带 系统 ， 是 检测 电压 脉冲 序列 。 由 于 以 太 网 上 的 编码 采用 
Manchester 编码 ， 这 种 编码 的 特点 是 每 位 中 间 都 有 电压 跳 变 ， 监 听 站 可 以 把 这 种 跳 变 信号 当 作 
代表 信道 忙 的 载波 信号 。 对 于 宽带 系统 ， 监 听 站 接收 RF 载波 以 判断 信道 是 否 空闲 。 

差别 之 二 是 冲突 检测 的 实现 。 对 于 基带 系统 ， 是 把 直流 电压 加 到 信号 上 来 检测 冲突 的 。 每 
个 站 都 测量 总 线 上 的 直流 电 平 ， 由 于 冲突 而 迭 加 的 直流 电 平 比 单个 站 发 出 的 信号 强 ， 所 以 
IEEE 802 标准 规定 ， 如 果 发 送 站 电线 接头 处 的 信号 强度 超过 了 单个 站 发 送 的 最 大 信号 强度 ， 则 
说 明 检 测 到 了 冲突 。 然 而 ， 信 号 在 电缆 上 传播 时 会 有 衰减 ， 如 果 电缆 太 长 ， 就 会 使 冲突 信号 到 
达 远 端 时 的 幅度 小 于 规定 的 CD 门限 值 。 为 此 ， 标 准 限制 了 电缆 长 度 〈500m 或 200m)。 

对 于 宽带 系统 , 有 几 种 检测 冲突 的 方法 。 方 法 之 一 是 把 接收 的 数据 与 发 送 的 数据 逐 位 比较 。 
当 一 个 站 向 入 径 上 发 送 时 ， 同 时 〈 考 虑 了 传播 和 端 头 的 延迟 后 ) 从 出 径 上 接收 数据 ， 通 过 比较 
发 现 是 否 有 冲突 ;另外 一 种 方法 用 于 分 裂 配置 ， 由 端 头 检查 是 否 有 破坏 了 的 数据 ， 这 种 数据 的 
频率 与 正常 数据 的 频率 不 同 。 

对 于 双 绞 线 星 型 网 ， 冲 突 检 测 的 方法 更 简单 (如 图 4-12 所 示 )。 在 这 种 情况 下 ，Hub 监视 
输入 端的 活动 ， 若 有 两 处 以 上 的 输入 端 出 现 信 号 ， 则 认为 发 生 冲 突 ， 并 立即 产生 一 个 “冲突 出 
现 ” 的 特殊 信号 CP， 向 所 有 输出 端 广播 。 图 4-12 〈a) 是 无 冲突 的 情况 。 在 图 4-12 (b) 中 连 
接 A 站 的 IHub 检测 到 了 冲突 ，CP 信号 被 向 上 传 到 了 HHub， 并 广播 到 所 有 的 站 。 图 4-12 (c) 
表示 的 是 三 方 冲突 的 例子 。 
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(ce) A、B 和 C 同时 发 送 
图 4-12 星 型 网 的 冲突 检测 


4.3.2 CSMA/CD 协议 的 性 能 分 析 


下 面 分 析 传播 延迟 和 数据 速率 对 网 络 性 能 的 影响 。 

吞吐 率 是 单位 时 间 内 实际 传送 的 位 数 。 假 设 网 上 的 站 都 有 数据 要 发 送 ， 没 有 竞争 冲突 ， 各 
站 轮流 发 送 数据 ， 则 传送 一 个 长 度 为 工 的 帧 的 周期 为 b+ 如 如 图 4-13 所 示 。 由 此 可 得 出 最 大 知 
吐 率 为 


二 
二 qd/lv+L/R C43 


其 中 ，q 表示 网 段 长 度 ，v 为 信号 在 铜 线 中 的 传播 速度 光速 的 65% 一 77%)，R 为 网 络 提供 的 
数据 速率 ， 或 者 称 为 网 络 容量 。 
同时 可 得 出 网 络 利用 率 


三 
ESR Iv+LIR r+ 和 





利用 a=ty/y 得 


下 = 一 (4.5) 
at+l 


这 里 假定 是 全 双 工 信道 ，MAC 子 层 可 以 不 要 应 答 ， 而 由 LLC 子 层 进行 撒 带 应 答 。 得 出 的 
结论 是 : a (或 者 Rd 的 乘积 ) 越 大 ， 信 道 利用 率 越 低 。 表 4-6 列 出 了 LAN 中 a 值 的 典型 情况 。 
可 以 看 出 ， 对 于 大 的 高 速 网 络 ， 利 用 率 是 很 低 的 。 所 以 在 跨度 大 的 城 域 网 中 ， 同 时 传送 的 不 只 
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是 一 个 帧 ， 这 样 才 可 以 提高 网 络 效率 。 值 得 指出 的 是 ， 以 上 分 析 假定 没有 竞争 ， 没 有 开销 ， 是 


最 大 吞吐 率 和 最 大 效率 。 实 际 网 络 
















































































发 生 的 情况 更 差 ， 详 见 下 面 的 讨论 。 





































































































传输 时 间 =a<1 发 送 时 间 =1 
和 传输 时 间 =a>1 
四 上 卫 发 送 开始 a 发送 开 始 发 送 时 间 -1 
ho 上 
EE ] 发 送 结束 
机 名 荆 | ttlH T 
发 送 结束 
tl 1 id 接收 开始 Ea 
接收 结束 加 本 可 
htlta HT 百 | | 扣 收 结束 
人 六 同时 发 送 时 间 -1 0 
总 线 占 用 时 间 =1+a 总 线 占用 时 间 =1+a 
交 9 效率 =1(1+0) 
(a) a<l (b) a>1 
图 4-13 a 对 网 络 利用 率 的 影响 
表 4-6 a 值 和 网 络 利用 率 
数据 速率 /Mbps 帧 长 /位 a 1/(1+a) 
1 100 0.05 0.95 
1 1000 0.05 0.95 
1 100 0.5 0.67 
10 100 0.5 0.67 
10 1000 0.05 0.95 
10 1000 0.5 0.67 
10 10 000 0.05 0.95 
100 35 000 2 0.26 
100 1 000 5 0.04 
4.3.3 MAC 和 PHY 规范 


最 早 采 用 CSMA/CD 协议 的 网 络 是 Xerox 公司 的 以 太 网 。1981 年 ，DEC、Intel 和 Xerox 
三 家 公司 制定 了 DIX 以 太 网 标准 , 使 这 一 技术 得 到 越 来 越 广泛 的 应 用 。IEEE 802 委员 会 制定 局 
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域 网 标准 时 参考 了 以 太 网 标准 , 并 增加 了 几 种 新 的 传输 介质 。 读 者 下 面 会 看 到 , 以 太 网 只 是 802.3 
标准 中 的 一 种 。 


1. MAC 帧 结构 


802.3 的 帧 结构 如 图 4-14 所 示 。 
字 节 数 7 2 或 6 2 或 6 2 0~1500 0~46 4 
| 前导 字段 | 帧 起 始 和 | swt | 源 地 址 | 长 度 | 数据 | 填 克 | 校 几 和 | 








图 4-14 802.3 的 帧 格式 


每 个 帧 以 7 个 字 节 的 前 导 字 段 开 头 , 其 值 为 10101010, 这 种 模式 的 曼彻斯特 编码 产生 10MHz、 
持续 9.6hs 的 方 波 ， 作 为 接收 器 的 同步 信号 。 帧 起 始 符 的 代码 为 10101011， 它 标志 着 一 个 帧 的 
开始 。 

帧 内 的 源 地 址 和 目标 地 址 可 以 是 6 字 节 或 2 字 节 长 ，10Mbps 的 基带 网 使 用 6 字 节 地 址 。 
目标 地 址 最 高 位 为 0 时 表示 普通 地 址 , 为 1 时 表示 组 地 址 , 向 一 组 站 发 送 称 为 组 播 (Multicast)。 
全 1 的 目标 地 址 是 广播 地 址 ， 所 有 站 都 接收 这 种 帧 。 次 最 高 位 (第 46 位 ) 用 于 区 分 局 部 地 址 
或 全 局 地 址 。 局 部 地 址 仅 在 本 地 网 络 中 有 效 ， 全 局 地 址 由 IEEE 指定 ， 全 世界 没有 全 局 地 址 相 
同 的 站 。IEEE 为 每 个 硬件 制造 商 指定 网 卡 (NIC) 地 址 的 前 3 个 字 节 ， 后 3 个 字 节 由 制造 商 自 
己 编 码 。 

长 度 字段 说 明 数据 字段 的 长 度 。 数 据 字 段 可 以 为 0， 这 时 帧 中 不 包含 上 层 协议 的 数据 。 为 
了 保证 帧 发 送 期 间 能 检测 到 冲突 ，802.3 规定 最 小 帧 为 64 字 节 。 这 个 帧 长 是 指 从 目标 地 址 到 校 
验 和 的 长 度 。 由 于 前 导 字 段 和 帧 起 始 符 是 在 物理 层 加 上 的 ， 所 以 不 包括 在 帧 长 中 ， 也 不 参加 由 
校 验 。 如 果 帧 的 长 度 不 足 64 字 节 ， 要 加 入 最 多 46 字 节 的 填充 位 。 

早期 的 802.3 帧 格式 与 DIX 以 太 网 不 同 ，DIX 以 太 网 用 类 型 字段 指示 封装 的 上 层 协 议 ， 而 
IEEE 802.3 为 了 通过 LLC 实现 向 上 复 用 , 用 长 度 字段 取代 了 类 型 字段 。 实 际 上 ， 这 两 种 格式 可 
以 并 存 ， 两 个 字 节 可 表示 的 数字 值 范围 是 0 一 65 535， 长 度 字段 的 最 大 值 是 1500， 因 此 1501 一 
65 535 之 间 的 值 都 可 以 用 来 标识 协议 类 型 。 事 实 上 ， 这 个 字段 的 1336 一 65 535 (0x0600 一 0xFFFF) 
之 间 的 值 都 被 保留 作为 类 型 值 ， 而 0 一 1500 则 被 用 作 长 度 的 值 。 许 多 高 层 协议 例如 TCP/IP、 
IPX、DECnet4) 使 用 DIX 以 太 网 帧 格式 ， 而 IEEE 802.3/LLC 在 Apple Talk-2 和 NetBIOS 中 得 
到 应 用 。 

IEEE 802.3x 工作 组 为 了 支持 全 双 工 操作 开发 了 流量 控制 算法 , 这 使 得 帧 格式 出 现 了 一 些 变 


化 ， 新 的 MAC 协议 使 用 类 型 字段 来 
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区 分 MAC 控制 帧 和 其 他 类 型 的 帧 。IEEE 802.3x 在 1997 年 2 


月 成 为 正式 标准 ， 使 得 原来 的 “以 太 网 使 用 类 型 字段 而 下 EE 802.3 使 用 长 度 字 段 ” 的 差别 消失 。 


2. CSMA/CD 协议 的 实现 


IEEE 802.3 采用 CSMA/CD 协议 ， 这 个 协议 的 载波 监听 、 冲 突 检测 、 冲 突 强化 和 二 进 制 数 
后 退 等 功能 都 由 硬件 实现 。 这 些 硬件 逻辑 电路 包含 在 网 卡 中 。 网 卡 上 的 主要 器 件 是 以 太 网 数据 
链 路 控制 器 〈Ethernet Data Link Controller，EDLC)。 这 个 器 件 中 有 两 套 独立 的 系统 ， 分 别 用 于 
发 送 和 接收 ， 它 的 主要 功能 如 图 4-15 所 示 。 
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N 
接收 同步 字 
Js 
时 器 1 
接收 数据 由 
设置 发 送 状态 
N 
1 
发 送 CRC 码 到 
继续 接收 数据 由 人 
后 退 延 迟 
N 
发 送 Jamming 信 和 号 CRC 校 验 正确 > 正确 的 数据 帧 ee 
| 四 
发 送 失败 “| > | 重 发 次 数 加 1 取消 接收 的 数据 由 
(a) 发 送 流程 (b) 接收 流程 


图 4-15 EDLC 的 工作 流程 
IEEE 802.3 使 用 1- 坚 持 型 监听 算法 ， 因 为 这 个 算法 可 及 时 抢占 信道 ， 减 少 空闲 期 ， 同 时 实 
现 也 较 简单 。 在 监听 到 网 络 由 活动 变 成 安静 后 ， 并 不 能 立即 开始 发 送 ， 还 要 等 待 一 个 最 小 帧 间 
隔 时 间 ， 只 有 在 此 期 间 网 络 持续 平静 ， 才 能 开始 试 发 送 。 最 小 帧 间隔 时 间 规 定 为 9.6hs。 
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在 发 送 过 程 中 继续 监听 。 若 检测 到 冲突 ,发 送 8 个 十 六 进 制 数 的 序列 55555555， 这 就 是 协 
议 规定 的 阻塞 信号 。 

接收 站 要 对 收 到 的 帧 进行 校 验 。 除 CRC 校 验 之 外 还 要 检查 帧 的 长 度 。 短 于 最 小 长 度 的 帧 
被 认为 是 冲突 碎片 而 丢弃 ， 帧 长 与 数据 长 度 不 一 致 的 帧 以 及 长 度 不 是 整数 字 节 的 帧 也 被 丢弃 。 

另外 ， 网 卡 上 还 有 物理 层 的 部 分 设备 ， 例 如 Manchester 编码 器 与 译 码 器 ， 存 储 网 卡 地 址 
的 ROM, 与 传输 介质 连接 的 收发 器 , 以 及 与 主机 总 线 的 接口 电路 等 。 随 着 VLSI 集成 度 的 提高 ， 
网 卡 技术 发 展 很 快 ， 网 卡 上 的 器 件数 量 越 来 越 少 ， 功 能 越 来 越 强 。 


3， 物理 层 规范 
802.3 最 初 的 标准 规定 了 6 种 物理 层 传输 介质 ， 这 些 传 输 介质 的 主要 参考 数 如 表 4-7 所 示 。 
表 4-7 802.3 的 传输 介质 


属性 10Base-p 
拓扑 结 构 性 型 


数据 速率 证 
Mbps 
信号 类 型 | 基带 曼 基带 曼 码 








由 表 4-7 可 知 ，Ethernet 规范 与 10Base 5 相同 。 这 里 的 10 表示 数据 速率 为 10 Mbps，Base 
表示 基带 ，5 表示 最 大 段 长 为 500m。 其 他 几 种 标准 的 命名 方法 是 类 似 的 。 

10Base 5 采用 特性 阻抗 为 509 的 粗 同 轴 电 线 。 这 种 网 络 的 收发 器 不 在 网 卡 上 , 而 是 直接 与 
电缆 相连 ， 称 为 外 收发 器 ， 如 图 4-16 所 示 。 收 发 器 电缆 最 长 为 5m， 电 缆 段 最 长 为 500m， 最 
大 节点 数 限 于 100 个 工作 站 。 分 接头 之 间 的 距离 为 2.5m 的 整数 倍 ， 这 样 的 间隔 保证 从 相 邻 分 
接头 处 反射 回来 的 信号 不 会 登 加。 如 果 通 信 距 离 较 远 ， 可 以 用 中 继 器 (repeater) 把 两 个 网 络 段 
连接 在 一 起 。 标 准 规定 网 络 最 大 跨度 为 2.5km， 由 5 段 组 成 ， 最 多 含 4 个 中 继 器 ， 其 中 3 段 为 
同 轴 电 缆 ， 其 余 为 链 路 段 ， 不 含 工作 站 。 

10Base 2 标准 可 组 成 一 种 廉价 网 络 ， 这 是 因为 电缆 较 细 ， 容 易 安装 ， 收 发 器 包含 在 工作 站 
内 的 网 卡 上 ， 使 用 了 型 连接 器 和 BNC 接头 直接 与 电缆 相连 ， 如 图 4-17 所 示 。 由 于 数据 速率 相 
同 ，10Base 2 网 段 和 10Base 5 网 段 可 用 中 继 器 混合 连接 。 这 两 种 标准 的 主要 参数 对 比如 表 4-8 
所 示 。 





第 4 章 局域网 与 城 域 网 “图 113 苦 


0 




















DTE DTE 


J 


U ~ XX 


NBC T 型 头 细 同 轴 电 缆 









































图 4-16 10Base 5 的 收发 器 图 4-17 10Base 2 的 配置 


表 4-8 10Base 5 和 10Base 2 的 标准 参数 

















参 “ 数 10Base 2 
传输 介质 同 轴 电 缆 (50Q) 
信人 技术 各 旨 隐 
数据 速率 /Mbps | » | w 
最 大 段 长 m 185 
网 络 跨度 /m 1000 
每 段 节点 数 | wo | » 
节点 距离 种 05 
电缆 直径 /mm 10 5 
时 槽 /位 512 512 
帧 间隔 /hs 9.6 9.6 
最 大 重 传 次 数 16 16 
最 大 后 退 时 槽 数 10 10 
阻塞 信号 〈Jam) 长 度 /位 32 32 
最 大 帧 长 /8 位 组 1518 1518 
最 小 帧 长 8 位 组 | «4 | 9 


1Base 5 和 10Base-T 采用 无 屏蔽 双 绞 线 (Unshilded Twisted Pair) 和 星 型 拓扑 结构 。 这 两 种 网 
络 的 段 长 是 指 从 工作 站 到 Hub 的 距离 。AT&T 开发 的 1Base 5 网 络 叫 作 StarLAN。10Base-T 是 早期 
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市 场 上 最 常见 的 LAN 产品 ， 现 在 已 经 被 更 快 的 100Base-T 产品 代替 了 。 

10Broad 36 是 一 种 宽带 LAN， 采 用 双 费 或 分 裂 配置 。 单 个 网 段 的 长 度 为 1800m， 最 大 端 到 
端的 距离 是 3600m。 这 种 网 络 可 与 基带 系统 兼容 , 方法 是 把 基带 曼 码 经 过 差分 相 移 键 控 (DPSK) 
调制 后 发 送 到 宽带 电缆 上 。 还 有 一 种 叫 作 10Base-F 的 网 络 ,，F 代表 光纤 介质 ， 可 用 同步 有 源 星 型 
或 无 源 星 型 结构 实现 ， 数 据 速率 都 是 10Mbps， 网 络 长 度 分 别 为 500m 和 2000m。 


4.3.4 交换 式 以 太 网 


在 重负 载 下 ， 以 太 网 的 吞吐 率 大 大 下 降 。 实 际 的 通信 速率 比 网 络 提供 的 带宽 低 得 多 ， 这 是 
因为 所 有 的 站 竞争 同一 信道 所 引起 的 。 使 用 交换 技术 可 以 改善 这 种 情况 ， 交 换 式 以 太 网 就 是 
802.3 标准 的 改进 ， 下 面 简 述 这 种 技术 的 基本 原理 。 

交换 式 以 太 网 的 核心 部 件 是 交换 机 ， 这 种 设备 有 一 个 高 速 底板 (工作 速率 为 1Gbps)。 底 板 
上 有 4 一 32 个 插 槽 ,每 个 插 模 可 连接 一 块 插入 卡 , 卡 上 有 1 一 8 个 连接 器 ,用 于 连接 带 有 10Base-T 
网 卡 的 主机 ， 如 图 4-18 所 示 。 

交换 机 

















连接 主机 


图 4-18 交换 式 以 太 网 


连接 器 接收 主机 发 来 的 帧 。 插 入 卡 判 断 目 标 地 址 ， 如 果 目 标 站 是 同一 卡 上 的 主机 ， 则 把 帧 
转发 到 相应 的 连接 器 端口 ， 否 则 就 转发 给 高 速 底板 。 底 板 根据 专用 的 协议 进一步 转发 ， 送 达 目 
标 站 。 

当 同 一 插入 卡 上 有 两 个 以 上 的 站 发 送 帧 时 就 发 生 冲 突 。 分 解 冲突 的 方法 取决 于 插入 卡 的 罗 
辑 结构 。 一 种 方法 是 同一 卡 上 的 所 有 端口 连接 在 一 起 形成 一 个 冲突 域 ， 卡 上 的 冲突 分 解 方法 与 
通常 的 CSMA/CD 协议 一 样 处 理 。 这 样 ， 一 个 卡 上 同时 只 能 有 一 个 站 发 送 ， 但 整个 交换 机 中 有 
多 个 插入 卡 ， 因 而 有 多 个 站 可 同时 发 送 。 对 整个 网 络 的 带宽 提高 的 倍数 等 于 插入 卡 的 数量 。 

另外 一 种 方法 是 把 来 自主 机 的 输入 由 卡 上 的 存储 器 缓冲 , 这 种 设计 允许 卡 上 同时 有 多 个 端 
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发 送 帧 。 对 于 存储 的 帧 的 处 理 方法 仍然 是 适时 转发 ， 这 样 就 不 存在 冲突 了 。 这 种 技术 可 以 把 
标准 以 太 网 的 带宽 提高 一 到 两 个 数量 级 。 

进一步 扩展 联网 范围 的 方法 是 把 10Base-T 的 Hub 连接 在 交换 机 上 。 这 样 的 交换 机 相当 于 
网 桥 ， 它 提供 10Base-TLAN 之 间 的 互 连 ， 并 根据 目标 地 址 进行 帧 转发 。 


4.3.5 高速 以 大 网 


1， 快 速 以 太 网 


1995 年 100Mbps 的 快速 以 太 网 标准 下 EE 802.3u 正式 颁布 ,这 是 基于 10Base-T 和 10Base-F 
技术 ， 在 基本 布线 系统 不 变 的 情况 下 开发 的 高 速 局 域 网 标准 。 快 速 以 太 网 使 用 的 传输 介质 如 表 
4-9 所 示 , 其 中 多 模 光 纤 的 芯 线 直径 为 62.Shm, 包 层 直 径 为 12Shm; 单 模 光纤 的 芯 线 直径 为 8hm， 
包 层 直径 也 是 12Shm。 


表 4-9 快速 以 太 网 物理 层 规范 


标 准 传输 介质 特性 阻抗 最 大 段 长 
| 两 对 5 类 ur jl | 
100Base-TX 100m 
ee 一 对 多 模 光 纤 MME 2km 
8aSe- 

一 对 单 模 光纤 SMF 40km 
100Base-T4 四 对 3 类 UTP 100m 
100Base-T2 100m 


快速 以 太 网 使 用 的 集线器 可 以 是 共享 型 或 交换 型 ,也 可 以 通过 堆 营 多 个 集线器 来 扩大 端口 
数量 。 互 相连 接 的 集线器 起 到 了 中 继 的 作用 ， 扩 大 了 网 络 的 跨 距 。 快 速 以 太 网 使 用 的 中 继 器 分 
为 两 类 ,其 中 , I 类 中 继 器 中 包含 了 编码 / 译 码 功能 , 它 的 延迟 比 卫 类 中 继 器 大 ,如 图 4-19 所 示 。 





























人 
收发 器 收发 器 
(a) I 类 中 继 器 (b) I 类 中 继 器 


图 4-19 I 类 和 工 类 中 继 器 
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与 10Mbps 以 太 网 一 样 ， 快 速 以 太 网 也 要 考虑 冲突 时 楷 和 最 小 帧 长 问题 。 快 速 以 太 网 的 数 
据 速率 提高 了 10 倍 ， 而 最 小 帧 长 没有 变 ， 所 以 冲突 时 档 缩 小 为 5.12hs， 有 
slot =2S/0.7C+ Zpy (4.6) 
其 中 ，S$ 表 示 网 络 的 跨 距 ，0.7C 是 0.7 倍 光速 ，ty 是 工作 站 物理 层 时 延 。 由 于 进出 发 送 站 都 会 
产生 时 延 ， 所 以 取 其 两 倍 值 。 
按照 式 (4.6)， 可 得 到 计算 快速 以 太 网 跨 距 的 公式 
















































































































































































S$=0.35C(L%in /R—2t) (4.7) 
按照 这 个 公式 ， 结 合 表 4-10 中 关于 段 长 的 规定 ， 可 以 得 到 图 4-20 所 示 的 各 种 连接 方式 。 
[Ej 100m ' 412m 
DTE DTE DTE DTE 
攻 272m | 
mT 让 
DTE DIE DTE DTE 
医 320m | 
100m 1 100m | 
DTE DTE DTE DTE 
| 228m | 
100m 1 Sm 1 100m | 1I 1I 
DTE DTE DTE 
(a) 双 绞 线 (b) 光缆 
100m 站 1608m 
DTE DTE 
100m 208sm 
I 
DTE DTE 
100m Sm 1112m 
1 I 
DTE DTE 
(c) 混合 介质 


图 4-20 快速 以 太 网 系统 跨 距 


在 IEEE 802.3u 的 补充 条 款 中 说 明了 10Mbps 和 100Mbps 兼容 的 自动 协商 功能 。 当 系统 加 
电 后 网 卡 就 开始 发 送 快速 链 路 脉冲 〈Fast Link Pulse，FLP)， 这 是 33 位 二 进 制 脉冲 串 ， 前 17 
位 为 同步 信号 , 后 16 位 表示 自动 协商 的 最 佳 工作 模式 信息 。 原来 的 10Mbps 网 卡 发 出 的 是 正常 
链 路 脉冲 〈Normal Link Pulse，NLP)， 自 适应 网 卡 也 能 识别 这 种 脉冲 ， 从 而 决定 适当 的 发 送 
速率 。 
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2. 干 兆 以 太 网 


1000Mbps 以 太 网 的 传输 速率 更 快 , 作为 主干 网 提供 无 阻塞 的 数据 传输 服务 。1996 年 3 月 ， 
IEEE 成 立 了 802.3z 工作 组 , 开始 制定 1000Mbps 以 太 网 标准 。 后 来 又 成 立 了 有 100 多 家 公司 参 
加 的 千 兆 以 太 网 联盟 (Gibabit Ethemet Alliance，GEA)， 支 持 IEEE 802.3z 工作 组 的 各 项 活动 。 
1998 年 6 月 公布 的 IEEE 802.3z 和 1999 年 6 月 公布 的 IEEE 802.3ab 已 经 成 为 千 兆 以 太 网 的 正 
式 标准 。 它 们 规定 了 4 种 传输 介质 ， 如 表 4-10 所 示 。 


表 4-10 千 兆 以 太 网 标准 





标准 特点 
光纤 (短波 770~860nm) 多 模 光纤 (50，62.5pm) 


单 模 (10nm) 或 多 模 光 纤 (50， 
-LX | 光纤 (长 波 1270 一 1355nm) 
IEEE 8023z | oo 62.5hm) 


IEEE 802.3ab | 1000Base-T 二 一 5 类 无 屏蔽 双 绞 线 ，8B/10B 编码 


实现 千 兆 数据 速率 需要 采用 新 的 数据 处 理 技术 。 首 先是 最 小 帧 长 需要 扩展 ， 以 便 在 半 双 工 
的 情况 下 增加 跨 距 。 另 外 ，802.3z 还 定义 了 一 种 帧 突 发 方式 〈frame bursting)， 使 得 一 个 站 可 以 
连续 发 送 多 个 帧 。 最 后 ， 物 理 层 编码 也 采用 了 与 10Mbps 不 同 的 编码 方法 ， 即 4B/5B 或 8B/9B 
编码 法 
后 兆 以 太 网 标准 适用 于 已 安装 的 综合 布线 基础 之 上 ， 以 保护 用 户 的 投资 。 


3， 万 兆 以 太 网 





2002 年 6 月 ，IEEE 802.3ae 标准 发 布 ， 支 持 10Gbps 的 传输 速率 ， 规 定 的 几 种 传输 介质 如 
表 4-11 所 示 。 传统 以 太 网 采用 CSMA/CD 协议 ， 即 带 冲突 检测 的 载波 监听 多 路 访问 技术 。 与 千 
兆 以 太 网 一 样 ， 万 兆 以 太 网 基本 应 用 于 点 到 点 线路 ， 不 再 共享 带宽 ， 没 有 冲突 检测 ， 载 波 监听 
和 多 路 访问 技术 也 不 再 重要 。 千 兆 以 太 网 和 万 兆 以 太 网 采用 与 传统 以 太 网 同样 的 帧 结构 。 


表 4-11 IEEE 802.3ae 万 兆 以 太 网 标准 







名 


10GBase-S (Short) 


称 








| 50um 的 多 模 光 纤 
| 62.5hm 的 多 模 光纤 





850nm 串 行 





10GBase-L (Long) 
10GBase-E (Extended) 


1310nm 串 行 
1 550nm 串 行 
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名 称 





| 单 模 光 纤 
10GBase-LX4 | sohm 的 多 模 光 纤 
62.5Shm 的 多 模 光 纤 


1 310nm 
4X2.5Gbps 
波 分 多 路 复 用 (WDM) 











4.3.6 ”虚拟 局 域 网 


虚拟 局 域 网 (Virtual Local Area Network，VLAN) 是 根据 管理 功能 、 组 织 机 构 或 应 用 类 型 
对 交换 局 域 网 进行 分 段 而 形成 的 逻辑 网 络 。 虚 拟 局 域 网 与 物理 局 域 网 具有 同样 的 属性 ， 然 而 其 
中 的 工作 站 可 以 不 属于 同一 个 物理 网 段 。 任 何 交换 端口 都 可 以 分 配给 某 个 VLAN， 属 于 同一 个 
VLAN 的 所 有 端口 构成 一 个 广播 域 。 每 一 个 VLAN 都 是 一 个 逻辑 网 络 ， 发 往 VLAN 之 外 的 分 
组 必须 通过 路 由 器 进行 转发 。 图 4-21 为 一 个 VLAN 设计 的 实例 ， 其 中 为 每 个 部 门 定 义 了 一 个 
VLAN，3 个 VLAN 分 布 在 不 同位 置 的 3 台 交换 机 上 。 


财务 部 
VLAN 


工程 部 市 场 部 
VLAN VLAN 








路 由 器 


= 


快速 以 太 网 











图 4-21 把 交换 局 域 网 划分 成 VLAN 


在 交换 机 上 实现 VLAN， 可 以 采用 静态 的 或 动态 的 方法 。 
(1) 静态 分 配 VLAN。 为 交换 机 的 各 个 端口 指定 所 属 的 VLAN。 这 种 基于 端口 的 划分 方法 
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是 把 各 个 端口 固定 地 分 配给 不 同 的 VLAN， 任 何 连 接 到 交换 机 的 设备 都 属于 接 入 端口 所 在 的 
VLAN。 

(2) 动态 分 配 VLAN。 动态 VLAN 通过 网 络 管理 软件 包 来 创建 ， 可 以 根据 设备 的 MAC 地 
址 、 网络 层 协 议 、 网络 层 地 址 、IP 广播 域 或 管理 策略 来 划分 VLAN。 根据 MAC 地 址 划分 VLAN 
的 方法 应 用 最 多 ， 一 般 交换 机 都 支持 这 种 方法 。 无 论 一 台 设 备 连 接 到 交换 网 络 的 什么 地 方 ， 接 
入 交换 机 根据 设备 的 MAC 地 址 就 可 以 确定 该 设备 的 VLAN 成 员 身份 。 这 种 方法 使 得 用 户 可 以 
在 交换 网 络 中 改变 接 入 位 置 ， 而 仍 能 访问 所 属 的 VLAN。 但 是 ， 当 用 户 数量 很 多 时 ， 对 每 个 用 
户 设 备 分 配 VLAN 的 工作 量 是 很 大 的 管理 负担 。 

把 物理 网 络 划 分 成 VLAN 的 好 处 如 下 。 

(1) 控制 网 络 流量 。 一 个 VLAN 内 部 的 通信 (包括 广播 通信 ) 不 会 转发 到 其 他 VLAN 中 
去 ， 从 而 有 助 于 控制 广播 风暴 ， 减 小 冲突 域 ， 提 高 网 络 带宽 的 利用 率 。 

(2) 提高 网 络 的 安全 性 。 可 以 通过 配置 VLAN 之 间 的 路 由 来 提供 广播 过 滤 、 安 全 和 流量 控 
制 等 功能 。 不 同 VLAN 之 间 的 通信 受到 限制 ， 提 高 了 企业 网 络 的 安全 性 。 

(3) 灵活 的 网 络 管理 。VLAN 机 制 使 得 工作 组 可 以 突破 地 理 位 置 的 限制 而 根据 管理 功能 来 
划分 。 如 果 根 据 MAC 地 址 划分 VLAN， 用 户 可 以 在 任何 地 方 接 入 交换 网 络 ， 实 现 移动 办 公 。 

在 划分 成 VLAN 的 交换 网 络 中 ,交换 机 端口 之 间 的 连接 分 为 两 种 : 接 入 链 路 连接 (Access- 
Link Connection》 和 中 继 链 路 连接 (Trunk-Link Connection) 。 接 入 链 路 只 能 连接 具有 标准 以 太 
网 卡 的 设备 ， 也 只 能 传送 属于 单个 VLAN 的 数据 包 。 任 何 连 接 到 接 入 链 路 的 设备 都 属于 同一 个 
广播 域 ， 这 意味 着 ， 如 果 有 10 个 用 户 连 接 到 一 个 集线器 ， 而 集线器 被 插入 到 交换 机 的 接 入 链 
路 端口 ， 则 这 10 个 用 户 都 属于 该 端口 规定 的 VLAN。 

中 继 链 路 是 在 一 条 物理 连接 上 生成 多 个 逻辑 连接 ， 每 个 逻辑 连接 属于 一 个 VLAN。 在 进入 
中 继 端 口 时 ,交换 机 在 数据 包 中 加 入 VLAN 标记 。 这样 ,在 中 继 链 路 另 一 端的 交换 机 就 不 仅 要 
根据 目标 地 址 ， 而 且 要 根据 数据 包 所 属 的 VLAN 进行 转发 决策 。 在 图 4-22 中 用 不 同 的 颜色 表 
示 不 同 VLAN 的 帧 ， 这 些 帧 共享 同一 条 中 继 链 路 。 








Blue Blue 
Red Red 
cm ™ 
Green Green 


图 4-22 接 入 链 路 和 中 继 链 路 


为 了 与 接 入 链 路 设备 兼容 , 在 数据 包 进 入 接 入 链 路 连接 的 设备 时 , 交换 机 要 删除 VLAN 标 
记 ， 恢 复原 来 的 帧 结构 。 添 加 和 删除 VLAN 标记 的 过 程 是 由 交换 机 中 的 专用 硬件 自动 实现 的 ， 
处 理 速度 很 快 ， 不 会 引入 太 大 的 延迟 。 从 用 户 角度 看 ， 数 据 源 产 生 标准 的 以 太 帧 ， 目 标 接收 的 
也 是 标准 的 以 太 帧 ，VLAN 标记 对 用 户 是 透明 的 。 
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IEEE 802.1q 定义 了 VLAN 帧 标记 的 格式 , 在 原来 的 以 太 帧 中 增加 了 4 个 字 节 的 标记 (Tag) 
字段 ， 如 图 4-23 所 示 。 其 中 ,标记 控制 信息 (Tag Control Information，TCI) 包含 Priority、CFI 
和 VID 3 个 部 分 ， 各 个 字段 的 含义 如 表 4-12 所 示 。 
































类 型 / | 
DA DA T FCS 
| 本 本 数据 
6 6 7 <=-1500 4 位 
一 “ws 
一 AR 
ye | 一 标记 控制 信息 TC[ 二 ~ 一 | 
| TPID Priority CFI VID | 
16 3 1 12 位 


图 4-23 ”802.1q 帧 格式 


表 4-12 802.1q 帧 标记 









标记 协议 标识 符 (Tag Protocol Identifier), 设 定 为 0x8100, 表示 该 帧 
标记 

提供 8 个 优先 级 (由 802.1q 定义 )。 当 有 多 个 帧 等 待 发 送 时 ， 按 优先 级 发 送 数 
据 包 

规范 格式 指示 (Canonical Format Indicator)，0 表示 以 太 网 ，1 表示 FDDI 和 
令 牌 环 网 。 这 一 位 在 以 太 网 与 FDDI 和 令 牌 环 网 交换 数据 帧 时 使 用 
VLAN 标识 符 (0 一 4095), 其 中 VID 0 用 于 识别 优先 级 ,VID 4095 保留 未 用 ， 
所 以 最 多 可 配置 4094 个 VLAN 





i je 含 802.1q 


Priority 法 





CFI 1 









4.4 ”局 域 网 互 连 


局 域 网 通过 网 桥 互 连 。IEEE 802 标准 中 有 两 种 关于 网 桥 的 规范 : 一 种 是 802.1d 定义 的 透 
明 网 桥 ， 另 一 种 是 802.5 标准 中 定义 的 源 路 由 网 桥 。 本 节 首 先 介 绍 网 桥 协议 的 体系 结构 ， 然 后 
分 别 介绍 两 种 IEEE 802 网 桥 的 原理 。 


4.4.1 网 桥 协 议 的 体系 结构 


在 IEE 802 体系 结构 中 ， 站 地 址 是 由 MAC 子 层 协议 说 明 的， 网 桥 在 MAC 子 层 起 中 继 作 
用 。 图 4-24 表示 了 由 一 个 网 桥 连接 两 个 LAN 的 情况 ， 这 两 个 LAN 运行 相同 的 MAC 和 LLC 
协议 。 当 MAC 帧 的 目标 地 址 和 源 地 址 属于 不 同 的 LAN 时 ， 该 帧 被 网 桥 捕获 、 和 暂时 缓冲 ,然后 
传送 到 另 一 个 LAN。 当 两 个 站 之 间 有 通信 时 ， 两 个 站 中 的 对 等 LLC 实体 之 间 就 有 对 话 ， 但 是 
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网 桥 不 需要 知道 LLC 地 址 ， 只 是 传输 MAC 帧 。 

























































































用 户 tl t8 用 户 t,t8 | 数据 
LLC 降 洒 LLC 
MAC MAC MAC 也,t7| LLCH | 数据 
[PHY |3 M4 PHY | PHY 3} 区 | pHY 
(LAN) NAN 43, t4, 15, 6| MAC-H [LLCH | 数据 | MAC-T 
(a) 网 桥 协议 结构 (b) 网 桥 传输 的 帧 


图 4-24 用 网 桥 连 接 两 个 LAN 


图 4-24 (b) 表示 网 桥 传输 的 数据 帧 。 数 据 由 LLC 用 户 提 供 ，LLC 实体 对 用 户 数据 附加 上 
帧 头 后 传送 给 本 地 的 MAC 实体 ，MAC 实体 再 加 上 MAC 帧 头 和 帧 尾 ， 从 而 形成 MAC 帧 。 由 
于 MAC 帧 头 中 包含 了 目标 站 地 址 ,所 以 网 桥 可 以 识别 MAC 帧 的 传输 方向 。 网 桥 并 不 剥 掉 MAC 
帧 头 和 帧 尾 , 它 只 是 把 MAC 帧 完整 地 传送 到 目标 LAN。 当 MAC 帧 到 达 目 标志 AN 后 才 可 能 被 
目标 站 捕获 。 

MAC 中 继 桥 的 概念 并 不 限于 用 一 个 网 桥 连接 两 个 邻近 的 LAN。 如 果 两 个 LAN 相距 较 远 ， 
可 以 用 两 个 网 桥 分 别 连接 一 个 LAN， 两 个 网 桥 之 间 再 用 通信 线路 相连 。 图 4-25 表示 两 个 网 桥 
之 间 用 点 对 点 链 路 连接 的 情况 ， 当 一 个 网 桥 捕获 了 目标 地 址 为 远 端 LAN 的 帧 时 ， 就 加 上 链 路 
层 〈 例 如 HDLC) 的 帧 头 和 帧 尾 ， 并 把 它 发 送 到 远 端 的 另 一 个 网 桥 ， 目 标 网 桥 剥 掉 链 路 层 字 段 
使 其 恢复 为 原来 的 MAC 帧 ， 这 样 ，MAC 帧 可 最 后 到 达 目 标 站 。 















































用 户 | ， 用 户 
LIC | 。 网 桥 网 桥 Be 
MAC 人 t4 MMA! ink| (s ee A t6 ~ 一 t7 2 
PHY LAN PHY | PHY | PHY | PHY CLAN) 
(a) 体系 结构 
tl t9 数据 
t2,1t8 LLC-H | 数据 





et [MACH[LLCH| 数据 | MAcT | 














6| LinkH [MAC-H|LLCH| 数据 | MAC-T| LinkT 
(b) 网 桥 传送 的 帧 


图 4-25 ”远程 网 桥 通过 点 对 点 线路 相连 


两 个 远程 网 桥 之 间 的 通信 设施 也 可 以 是 其 他 网 络 ， 例 如 广 域 分 组 交换 网 ， 如 图 4-26 所 示 。 
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在 这 种 情况 下 ， 网 桥 仍 然 是 起 到 MAC 帧 中 继 的 作用 ， 但 它 的 结构 更 复杂 。 假 定 两 个 网 桥 之 问 
是 通过 X.25 虚 电 路 连接 ， 并 且 两 个 端 系统 之 间 建 立 了 直接 的 逻辑 关系 ， 没 有 其 他 LLC 实体 ， 
这 样 ，X.25 分 组 层 工作 于 802 LLC 层 之 下 。 为 了 使 MAC 帧 能 完整 地 在 两 个 端 系统 之 间 传 送 ， 
源 端 网 桥接 收 到 MAC 帧 后 ， 要 给 它 附 加 上 X.25 分 组 头 和 X.25 数据 链 路 层 的 帧 头 和 帧 尾 ， 然 
后 发 送 给 直接 相连 的 DCE。 这 种 X.25 数据 链 路 帧 在 广域网 中 传播 ， 到 达 目 标 网 桥 并 剥 掉 X.25 
字段 ， 恢 复 为 原来 的 MAC 帧 ， 然 后 发 送 给 目标 站 。 
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(a) 体系 结构 

tl, tl2 [ 数据] 

t,tll LLCH | 数据 

{3, (4, 19, t10 [MACH [LICH [ 数据 | MACT 

{5, t8 X.25-H |MACH [LLCH [数据 | MACIT 

16, t7[ Link-H | X25-H |MAC-HICLCH| 数据 | MACT| LinkT | 
《b) 网 桥 传送 的 帧 


图 4-26 ”两 个 网 桥 通过 X.25 网 络 相连 


在 简单 的 情况 下 《〈 例 如， 一 个 网 桥 连 接 两 个 LAN)， 网 桥 的 工作 只 是 根据 MAC 地 址 决定 
是 否 转发 帧 ， 但 是 在 更 复杂 的 情况 下 ， 网 桥 必须 具有 路 由 选择 的 功能 。 例 如 在 图 4-27 中 ， 假 定 
站 1 给 站 6 发 送 一 个 帧 ， 这 个 帧 同时 被 网 桥 101 和 102 捕获 ， 而 这 两 个 网 桥 直接 相连 的 LAN 
都 不 含 目 标 站 。 这 时 网 桥 必须 做 出 决定 是 否 转发 这 个 帧 ， 使 其 最 后 能 到 达 站 6。 显 然 ， 网 桥 102 
应 该 做 这 个 工作 ， 把 收 到 的 帧 转发 到 LAN C， 然 后 再 经 网 桥 104 转发 到 目标 站 。 可 见 ， 网 桥 要 
有 做 出 路 由 决策 的 能 力 ， 特 别 是 当 一 个 网 桥 连接 两 个 以 上 的 网 络 时 ， 不 仅 要 决定 是 否 转发 ， 还 
要 决定 转发 到 哪个 端口 上 去 。 

网 桥 的 路 由 选择 算法 可 能 很 复杂 。 在 图 4-28 中 ， 网 桥 105 直接 连接 LANA 和 LANE， 从 
而 构成 了 从 LAN A 到 LANE 之 间 的 元 余 通 路 。 如 果 站 1 向 站 5 发 送 一 个 帧 ， 该 帧 既 可 以 经 网 
桥 101 和 网 桥 103 到 达 站 5， 也 可 以 只 经 过 网 桥 105 直接 到 达 站 5。 在 实际 通信 过 程 中 ， 可 以 
根据 网 络 的 交通 情况 决定 传输 路 线 。 另 外 ， 当 网 络 配置 改变 时 《例如 网 桥 105 失效 )， 网 桥 的 
路 由 选择 算法 也 要 随 之 改变 。 考 虑 了 这 些 因 素 后 ， 网 桥 的 路 由 选择 功能 就 与 网 络 层 的 路 由 选择 
功能 类 似 了 。 在 最 复杂 的 情况 下 ， 所 有 网 络 层 的 路 由 技术 在 网 桥 中 都 能 用 得 上 。 当 然 ， 一 般 由 
网 桥 互 连 局 域 网 的 情况 远 没有 广域网 中 的 网 络 层 复杂 , 所 以 有 必要 研究 更 适合 于 网 桥 的 路 由 技术 。 
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站 1 站 2 站 3 站 1 | 闸 站 3 
LANA LANA | | 
| | 
网 桥 101 | | 网 桥 102 网 桥 101 网 桥 105 网 桥 102 
LANB LANC LANB _|[ LaNc 
[i 网 株 I04 [aiios | [matiios | 
LAND | 中 LANE LANF LAND LANE LANF 
图 4-27 由 网 桥 互 连 的 多 个 LAN 图 4-28 ”有 宛 余 通 路 的 互 连 


为 了 对 网 桥 的 路 由 选择 提供 支持 ，MAC 层 地址 最 好 是 分 为 两 部 分 : 网 络 地 址 部 分 (标识 
因特网 中 唯一 的 LAN) 和 站 地 址 部 分 〈 标 识 某 LAN 中 唯一 的 工作 站 )。IEEE 802.5 标准 建议 : 
16 位 的 MAC 地 址 应 分 成 7 位 的 LAN 编号 和 8 位 的 工作 站 编号 ， 而 48 位 的 MAC 地 址 应 分 成 
14 位 的 LAN 编号 和 32 位 的 工作 站 编号 ， 其 余 位 用 于 区 分 组 地 址 / 单 地 址 以 及 局 部 地 址 /全 局 
地 址 。 

在 网 桥 中 使 用 的 路 由 选择 技术 可 以 是 固定 路 由 技术 。 像 网 络 层 使 用 的 那样 ， 每 个 网 桥 中 存 
储 一 张 固定 路 由 表 ， 网 桥 根据 目标 站 地 址 查 表 选取 转发 的 方向 ， 选 取 的 原则 可 以 是 某 种 既定 的 
最 短 通 路 算法 。 当 然 ， 在 网 络 配置 改变 时 ， 路 由 表 要 重新 计算 。 

固定 式 路 由 策略 适合 小 型 和 配置 稳定 的 互连网 络 。 除 此 之 外 ,IEEE 802 委员 会 开发 了 两 种 
路 由 策略 规范 : IEEE 802.1d 标准 是 基于 生成 树 算法 的 ， 可 实现 透明 网 桥 ; 伴随 IEEE 802.5 标 
准 的 是 源 路 由 网 桥 规范 。 下 面 分 别 介绍 这 两 种 网 桥 标准 。 


4.4.2 ”生成 峙 网 桥 
生成 树 〈Spanning Tree) 网 桥 是 一 种 完全 透明 的 网 桥 ， 这 种 网 桥 插入 电缆 后 就 可 以 自动 完 


成 路 由 选择 的 功能 ， 无 须 由 用 户 装 入 路 由 表 或 设置 参数 ， 网 桥 的 功能 是 自己 学 习 获得 的 。 以 下 
从 帧 转发 、 地 址 学 习 和 环 路 分 解 3 个 方面 讲述 这 种 网 桥 的 工作 原理 。 


1. 帧 转发 

网 桥 为 了 能 够 决定 是 否 转发 一 个 帧 ， 必 须 为 每 个 转发 端口 保存 一 个 转发 数据 库 ， 数 据 库 中 
保存 着 必须 通过 该 端口 转发 的 所 有 站 的 地 址 。 可 以 通过 图 4-27 说 明 这 种 转发 机 制 。 图 4-27 中 
的 网 桥 102 把 所 有 互联 网 中 的 站 分 为 两 类 ， 分 别 对 应 它 的 两 个 端口 : 在 LANA、B、D 和 E 上 
的 站 在 网 桥 102 的 LAN A 端口 一 边 , 这 些 站 的 地 址 列 在 一 个 数据 库 中 ; 在 LAN C 和 了 中 的 站 
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在 网 桥 102 的 LAN C 端口 一 边 ， 这 些 站 的 地 址 列 在 另 一 个 数据 库 中 。 当 网 桥 收 到 一 个 帧 时 ， 





就 可 以 根据 目标 地 址 和 这 两 个 数据 库 的 内 容 决定 是 es 
否 把 它 从 一 个 端口 转发 到 另 一 个 端口 。 作 为 一 般 情 网 酉 转发 | 。 收 到 由 











况 ， 假 定 网 桥 从 端口 X 收 到 一 个 MAC 帧 ， 则 它 按 
以 下 算法 进行 路 由 决策 (如 图 4-29 所 示 )。 

(1) 查找 除 和 端口 之 外 的 其 他 转发 数据 库 。 

(2) 如 果 没有 发 现 目标 地 址 ， 则 丢弃 帧 。 

(3) 如 果 在 某 个 端口 了 Y 的 转发 数据 库 中 发 现 目 
标 地 址 ， 并 且 立 端口 没有 阻塞 〈 阻 塞 的 原因 下 面 讲 
述 )， 则 把 收 到 的 MAC 帧 从 立 端口 发 送出 去 ; 车 YY ne 
端口 阻塞 , 则 丢弃 该 帧 。 -一 一 下- 一 


2. 地 址 学 习 


以 上 转发 方案 假定 网 桥 已 经 装 入 了 转发 数据 
库 。 如 果 采 用 静态 路 由 策略 ， 转 发 信息 可 以 预先 装 
入 网 桥 。 然 而 ， 还 有 一 种 更 有 效 的 自动 学 习 机 制 ， 
可 以 使 网 桥 从 无 到 有 地 自行 决定 每 一 个 站 的 转发 方 
向 。 获 取 转 发 信息 的 一 种 简单 方案 利用 了 MAC 帧 
中 的 源 地 址 字段 ， 下 面 简 述 这 种 学 习 机 制 。 

如 果 一 个 MAC 帧 从 某 个 端口 到 达 网 桥 ， 显 然 它 的 源 工作 站 处 于 网 桥 的 入 口 LAN 一 边 ， 
从 帧 的 源 地 址 字段 可 以 知道 该 站 的 地 址 ， 于 是 网 桥 据 此 更 新 相应 端口 的 转发 数据 库 。 为 了 应 付 
网 络 拓扑 结构 的 改变 ， 转 发 数据 库 的 每 一 数据 项 〈 站 地 址 ) 都 配备 一 个 定时 器 。 当 一 个 新 的 数 
据 项 加 入 数据 库 时 ， 定 时 器 复位 ; 如 果 定 时 器 超时 ， 则 数据 项 被 删除 ， 从 而 相应 传播 方向 的 信 
息 失 效 。 每 当 接收 到 一 个 MAC 帧 时 ， 网 桥 就 取出 源 地 址 字段 并 查看 该 地 址 是 否 在 数据 库 中 ， 
如 果 已 在 数据 库 中 ， 则 对 应 的 定时 器 复位 ， 在 方向 改变 时 可 能 还 要 更 新 该 数据 项 ， 如 果 地 址 不 
在 数据 库 中 ， 则 生成 一 个 新 的 数据 项 并 置 位 其 定时 器 。 

以 上 讨论 假定 在 数据 库 中 直接 存储 站 地 址 。 如 果 采 用 两 级 地 址 结构 (LAN 编号 .站 编号 )， 
则 数据 库 中 只 需 存 储 LAN 地 址 部 分 就 可 以 了 ， 这 样 可 以 节省 网 桥 的 存储 空间 。 

3. 环 路 分 解 一 一 生成 树 算法 

以 上 讨论 的 学 习 算 法 适用 于 因特网 为 树 型 拓扑 结构 的 情况 ， 即 网 络 中 没有 环 路 ,任意 两 个 
站 之 间 只 有 唯一 通路 ， 当 因特网 络 中 出 现 环 路 时 这 种 方法 就 失效 了 。 下 面 通 过 图 4-30 说 明 问题 
是 怎样 产生 的 。 假 设 在 时 刻 ， 站 A 向 站 B 发 送 了 一 个 帧 。 每 一 个 网 桥 都 捕获 了 这 个 帧 并 且 在 
各 自 的 数据 库 中 把 站 A 地 址 记录 在 LAN X 一边， 随 之 把 该 帧 发 往 LAN Y。 在 稍 后 某 个 时 刻 右 





































把 源 加 入 数据 
库 设置 转发 方 
向 重 置 定时 器 








更 新 转发 方 
向 重 置 定时 器 











图 4-29 ”网 桥 转发 和 学 习 
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或 (可 能 不 相等 )， 网 桥 a 和 b 又 收 到 了 源 地 址 为 A、 目 标 地 址 为 B 的 MAC 帧 ， 但 这 一 次 是 
从 LAN Y 的 方向 传 来 的 ， 这 时 两 个 网 桥 又 要 更 新 各 自 的 转发 数据 库 ， 把 站 A 的 地 址 记 在 LAN Y 
一 边 。 

可 见 ， 由 环 路 引起 的 循环 转发 破坏 了 网 桥 的 数据 
库 ， 使 得 网 桥 无 法 获得 正确 的 转发 信息 。 克 服 这 个 问 
题 的 思路 就 是 要 设法 消除 环 路 ， 从 而 避免 出 现 互 相 转 
发 的 情况 。 幸 好 ， 图 论 中 有 一 种 提取 连通 图 生成 树 的 
简单 算法 ， 可 以 用 于 因特网 络 消除 其 中 的 环 路 。 在 因 网 桥 a 网 桥 b 
特 网 络 中 , 每 一 个 LAN 对 应 于 连通 图 的 一 个 顶点 , 而 ”LANY 
每 一 个 网 桥 对 应 于 连通 图 的 一 个 边 。 删 去 连通 图 的 一 
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个 边 等 价 于 移 去 一 个 网 桥 ， 凡 是 构成 回路 的 网 桥 都 可 站 B 
以 逐个 移 去 ， 最 后 得 到 的 生成 树 不 含 回路 ， 但 又 不 改 
变 网 络 的 连通 性 。 需 要 一 种 算法 ， 使 得 各 个 网 桥 之 间 图 4-30 有 环 路 的 因特网 络 


通过 交换 信息 自动 阻塞 一 些 传输 端口 ， 从 而 破坏 所 有 
的 环 路 并 推导 出 因特网 络 的 生成 树 。 这 种 算法 应 该 是 动态 的 ， 即 当 网 络 拓扑 结构 改变 时 ， 网 桥 
能 觉察 到 这 种 变化 ， 并 随即 导出 新 的 生成 树 。 假 定 : 

(1) 每 一 个 网 桥 有 唯一 的 MAC 地 址 和 唯一 的 优先 级 ， 地 址 和 优先 级 构成 网 桥 的 标识 符 。 

(2) 有 一 个 特殊 的 地 址 用 于 标识 所 有 网 桥 。 

(3) 网 桥 的 每 一 个 端口 有 唯一 的 标识 符 ， 该 标识 符 只 在 网 桥 内 部 有 效 。 

另外 ， 要 建立 以 下 概念 。 

。 ” 根 桥 : 即 作 为 生成 树 树 根 的 网 桥 ， 例 如 可 选择 地 址 值 最 小 的 网 桥 作为 根 桥 。 

。 通路 费用 : 为 网 桥 的 每 一 个 端口 指定 一 个 通路 费用 ， 该 费用 表示 通过 那个 端口 向 其 连 
接 的 LAN 传送 一 个 帧 的 费用 。 两 个 站 之 间 的 通路 可 能 要 经 过 多 个 网 桥 ， 这 些 网 桥 的 
有 关 端 口 的 费用 相 加 就 构成 了 两 站 之 问 通路 的 费用 。 例 如 ， 假 定 沿路 每 个 网 桥 端口 的 
费用 为 1， 则 两 个 站 之 间 通 路 的 费用 就 是 经 过 的 网 桥 数 。 另 外 ， 也 可 以 把 网 桥 端口 的 
通路 费用 与 有 关 LAN 的 通信 速率 联系 起 来 〈 一 般 为 反比 关系 )。 

根 通 路 : 每 一 个 网 桥 通 向 根 桥 的 、 费 用 最 小 的 通路 。 

根 端 口 : 每 一 个 网 桥 与 根 通路 相连 接 的 端口 。 

指定 桥 : 每 一 个 LAN 有 一 个 指定 桥 ， 这 是 在 该 LAN 上 提供 最 小 费用 根 通 路 的 网 桥 。 
指定 端口 : 每 一 个 LAN 的 指定 桥 连接 LAN 的 端口 为 指定 端口 。 对 于 直接 连接 根 桥 的 
LAN， 根 桥 就 是 指定 桥 。 该 LAN 连接 根 桥 的 端口 即 为 指定 端口 。 
根据 以 上 建立 的 概念 ， 生 成 树 算法 可 采用 下 面 的 步骤 。 

(1) 确定 一 个 根 桥 。 

(2) 确定 其 他 网 桥 的 根 端口 。 
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(3) 对 每 一 个 LAN 确定 一 个 唯一 的 指定 桥 和 指定 端口 ， 如 果 有 两 个 以 上 网 桥 的 根 通路 费 
用 相同 ， 则 选择 优先 级 最 高 的 网 桥 作为 指定 桥 ; 如 果 指定 桥 有 多 个 端口 连接 LAN， 则 选取 标识 


符 值 最 小 的 端口 为 指定 端 














按照 以 上 算法 ， 直 接连 接 两 个 LAN 的 网 桥 中 只 能 有 一 个 作为 指定 桥 ， 其 他 都 删除 掉 。 这 
就 排除 了 两 个 LAN 之 间 的 任何 环 路 。 同 理 ， 以 上 算法 也 排除 了 多 个 LAN 之 间 的 环 路 ， 但 保持 
了 连通 性 。 

为 了 实现 以 上 算法 , 网 桥 之 间 要 交换 网 桥 协议 数据 单元 。 IEEE 802.1d 定义 了 网 桥 协议 数据 
单元 BPDU 的 格式 ， 如 图 4-31 所 示 。 


Type () Rood BID (8) 
MAge ©) 


图 4-31 网 桥 协 议 数 据 单元 


其 中 的 各 个 字段 解释 如 下 。 


Protocol ID: 协议 标识 ， 恒 为 0。 

Version: 版 本 号 ， 恒 为 0。 

Type: BPDU 类 型 ,分 为 两 种 ， 即 配置 BPDU 和 TCN (Topology Change Notifications) 
BPDU。 

Flags: 标志 ， 表 示 活 动 拓扑 中 的 变化 ， 包 含 在 TCN 中 。 

Root BID: 根 网 桥 ID。 在 会 聚 后 的 网 络 中 ， 所 有 配置 BPDU 中 的 Root BID 都 相同 ， 
由 网 桥 优 先 级 和 MAC 地 址 两 部 分 组 成 。 

Root Path: 根 通路 费用 ， 通 向 根 网 桥 的 费用 。 

Sender BID: 发 送 BPDU 的 网 桥 ID。 

Port ID: 端口 DD。 

M-Age (Message Age): 报 文生 命 期 记录 根 网 桥 生 成 BPDU 的 时 间 。 

Max Age: 保存 BPDU 的 最 长 时 间 ， 也 反映 了 拓扑 变化 通知 中 的 网 桥 表 生 存 时 间 。 
Hello Time: 问 询 时 间 ， 指 周期 性 配置 BPDU 的 间隔 时 间 。 

FD (Forward Delay): 转发 延迟 , 用 于 监听 (listening) 和 学 习 (learning) 状态 的 时 间 。 





在 最 初 建立 生成 树 时 ， 最 主要 的 信息 如 下 。 

(1) 发 出 BPDU 的 网 桥 的 标识 符 及 其 端口 标识 符 。 

(2) 认为 可 作为 根 桥 的 网 桥 标识 符 。 

(3) 该 网 桥 的 根 通 路 费用 。 

开始 时 ,每 个 网 桥 都 声明 自己 是 根 桥 并 把 以 上 信息 广播 给 所 有 与 它 相连 的 LAN。 在 每 一 个 
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LAN 上 只 有 一 个 地 址 值 最 小 的 标识 符 ， 该 网 桥 可 坚持 自己 的 声明 ， 其 他 网 桥 则 放弃 声明 ， 并 根 
据 收 到 的 信息 确定 其 根 端口 ， 重 新 计算 根 通路 费用 。 当 这 种 BPDU 在 整个 互连网 络 中 传播 时 ， 
所 有 网 桥 可 最 终 确定 一 个 根 桥 ， 其 他 网 桥 据 此 计算 自己 的 根 端口 和 根 通路 。 在 同一 个 LAN 上 
连接 的 各 个 网 桥 还 需要 根据 各 自 的 根 通路 费用 确定 唯一 的 指定 桥 和 指定 端口 。 显 然 ， 这 个 过 程 
要 求 在 网 桥 之 间 多 次 交换 信息 ， 自 认为 是 根 桥 的 那个 网 桥 不 断 广播 自己 的 声明 。 例 如 在 图 4-32 
(a) 的 网 络 中 ， 通 过 交换 BPDU 导出 生成 树 的 过 程 简 述 如 下 。 
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(a) 网 络 配置 (b) 生成 树 
图 4-32 互连网 络 的 生成 树 


(1) 与 LAN 2 相连 的 3 个 网 桥 1、3 和 4 选 出 网 桥 1 为 根 桥 ， 网 桥 3 把 它 与 LAN 2 相连 的 
端口 确定 为 根 端口 〈 根 通路 费用 为 10)。 类 似 地 ， 网 桥 4 把 它 与 LAN 2 相连 的 端口 确定 为 根 端 
口 〈 根 通路 费用 为 5)。 

(2) 与 LAN 1 相连 的 3 个 网 桥 1、2 和 5 也 选 出 网 桥 1 为 根 桥 ， 网 桥 2 和 5 相应 地 确定 其 
根 通 路 费用 和 根 端口 。 

(3) 与 LAN 5 相连 的 3 个 网 桥 通 过 比较 各 自 的 根 通路 费用 的 优先 级 选 出 网 桥 4 为 指定 网 桥 ， 
其 根 端口 为 指定 端口 。 

其 他 计算 过 程 略 。 最 后 导出 的 生成 树 如 图 4-32 (b) 所 示 。 只 有 指定 网 桥 的 指定 端口 可 转 
发 信息 ， 其 他 网 桥 的 端口 都 必须 阻塞 起 来 。 在 生成 树 建立 起 来 以 后 ， 网 桥 之 间 还 必须 周期 地 交 
换 BPDU， 以 适应 网 络 拓扑 、 通 路 费用 以 及 优先 级 改变 的 情况 。 

1998 年 ，IEEE 发 表 了 802.1w 标准 ， 对 原来 的 生成 树 协议 进行 了 改进 ， 定 义 了 快速 生 
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成 树 协 议 (Rapid Spanning Tree Protocol，RSTP)， 用 于 加 快 生成 树 的 收敛 速度 。 最 新 的 标 
准 IEEE 802.1D-2004 对 RSTP 进行 了 改进 ， 并 作废 了 原来 的 STP 标准 。 原 来 的 生成 树 协议 
一 般 需 要 30 一 50s 才能 响应 网 络 拓扑 的 改变 ， 而 新 的 快速 生成 树 协议 缩短 到 3 倍 Hello 时 
间 默认 为 6s)。 下 面 的 例子 说 明了 RSTP 协议 的 操作 过 程 。 
图 4-33 (a) 是 一 个 局 域 网 互 连 的 例子 ， 这 里 用 方 框 代表 网 桥 ， 其 中 的 数字 代表 网 桥 
ID， 云 块 代表 网 段 。 根 据 选取 规则 ，ID 最 小 的 网 桥 3 被 选 为 根 网 桥 ， 如 图 4-33 (b) 所 示 。 
假定 所 有 网 段 的 传输 费用 为 1, 则 从 网 桥 4 达到 根 网 桥 的 最 短 通路 要 经 过 网 段 ,因而 网 桥 
4 连接 网 段 的 端口 是 根 端口 (RP)， 所 有 网 桥 的 选 定 的 根 端口 如 图 4-33 〈c) 所 示 。 下 一 
步 要 为 每 个 网 段 选择 指定 端口 (DP)。 从 网 段 e 到 达 根 网 桥 的 最 短 通路 要 通过 网 桥 92， 所 
以 网 桥 92 连接 网 段 e 的 端口 为 指定 端口 , 各 个 网 段 的 指定 端口 如 图 4-33 (d) 所 示 。 图 4-33 
(e) 表示 用 生成 树 算 法 计算 出 的 所 有 端口 的 状态 ， 如 果 一 个 活动 端口 既 不 是 根 端口 ， 也 不 
是 指定 端口 ， 则 它 就 被 阻塞 了 。 当 连接 网 桥 24 和 网 段 c 的 链 路 失效 时 ， 生 成 树 算法 重新 计 
算 最 短 通路 ， 网 桥 5 原来 阻塞 的 端口 变 成 了 网 段 了 的 指定 端口 ， 如 图 4-33 (f) 所 示 。 
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图 4-33 RSTP 网 络 的 例子 
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续 图 4-33 
按照 IEEE 802.1d 和 IEEE 802.1t 标准 , 网 段 的 通信 费用 根据 网 络 端口 的 数据 速率 确定 ， 


如 表 4-13 所 示 。 





表 4-13 ”给 定数 据 速率 接口 的 默认 费用 

数据 速率 STP 费用 (802.1t-2001) 

4Mbps 5 00 000 

10Mbps 2 000 000 

16Mbps 1 250 000 

100Mbps 200 000 

1Gbps 20 000 

2Gbps 10 000 

10Gbps 2000 
4.4.3 源 路 由 网 桥 

生成 树 网 桥 的 优点 是 易于 安装 ， 无 须 人 工 输入 路 由 信息 ， 但 是 这 种 网 桥 只 利用 了 网 络 拓扑 

结构 的 一 个 子 集 ， 没 有 最 好 地 利用 带宽 。 所 以 ，802.5 标准 中 给 出 了 另 一 种 网 桥 路 由 策略 一 一 


思想 是 


和 璧 丰 


源 路 由 网 桥 。 源 路 由 网 桥 的 核心 





由 帧 的 发 送 者 显 式 地 指明 路 由 信息 。 路 由 信息 由 网 桥 地 


址 和 LAN 标识 符 的 序列 组 成 ， 包 含 在 帧 头 中 。 每 个 收 到 帧 的 网 桥 根 据 帧 头 中 的 地 址 信息 可 以 
知道 自己 是 否 在 转发 路 径 中 ， 并 可 以 确定 转发 的 方向 。 例 如 在 图 4-34 中 ， 假 设 站 义 向 站 YY 发 
送 一 个 帧 。 该 帧 的 旅行 路 线 可 以 是 LAN 1、 网 桥 B1、LAN 3 和 网 桥 B3; 也 可 以 是 LAN 1、 网 
桥 B2、LAN 4 和 网 桥 B4。 如 果 源 站 义 选 择 了 第 一 条 路 径 ， 并 把 这 个 路 由 信息 放 在 帧 关中 ， 则 
网 桥 B1 和 B3 都 参与 转发 过 程 ， 反 之 ， 网 桥 B2 和 B4 负责 把 该 帧 送 到 目标 站 Y。 
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图 4-34 因特网 络 的 例子 





在 这 种 方案 中 ， 网 桥 无 须 保存 路 由 表 ， 只 须 记 住 自己 的 地 址 标识 符 和 它 所 连接 的 LAN 标识 
符 , 就 可 以 根据 帧 头 中 的 信息 做 出 路 由 决策 。 然而 , 发 送 帧 的 工作 站 必须 知道 网 络 的 拓扑 结构 ， 
了 解 目标 站 的 位 置 ， 才 能 给 出 有 效 的 路 由 信息 。 在 802.5 标准 中 有 各 种 路 由 指示 和 寻 址 模式 用 
于 解决 源 站 获取 路 由 信息 的 问题 。 


1. 路 由 指示 


按照 802.5 的 方案 , 帧 头 中 必须 有 一 个 指示 器 表明 路 由 选择 的 方式 。 路 由 指示 有 以 下 4 种 。 

(1) 室 路 由 指示 。 不 指示 路 由 选择 方式 ， 所 有 网 桥 不 转发 这 种 帧 ， 故 只 能 在 同一 个 LAN 
中 传送 。 

(2) 非 广播 指示 。 这 种 帧 中 包含 了 LAN 标识 符 和 网 桥 地 址 的 序列 。 帧 只 能 沿 着 预定 路 径 
到 达 目 标 站 ， 目 标 站 只 收 到 该 帧 的 一 个 副本 ， 这 种 帧 只 能 在 已 知 路 由 情况 下 发 送 。 

(3) 全 路 广播 指示 。 这 种 帧 通过 所 有 可 能 的 路 径 到 达 所 有 的 LAN， 在 有 些 LAN 上 可 能 
次 出 现 。 所 有 网 桥 都 向 远离 源 端的 方向 转发 这 种 帧 ， 目 标 站 会 收 到 来 自 不 同 路 径 的 多 个 副本 。 

(4) 单 路 径 广 播 指示 。 这 种 帧 沿 着 以 源 节点 为 根 的 生成 树 向 叶子 节点 传播 ， 在 所 有 LAN 
上 出 现 一 次 并 且 只 出 现 一 次 ， 目 标 站 只 收 到 一 个 副本 。 

全 路 广播 帧 不 含 路 由 信息 ， 每 一 个 转发 这 种 帧 的 网 桥 都 把 自己 的 地 址 和 输出 LAN 的 标识 
符 加 在 路 由 信息 字段 中 。 这 样 ， 当 帧 到 达 目 标 站 时 就 含有 完整 的 路 由 信息 了 。 为 了 防止 循环 转 
发 ， 网 桥 要 检查 路 由 信息 字段 ， 如 果 该 字段 中 含有 网 桥 连接 的 LAN， 则 不 会 再 把 该 帧 转发 到 这 
个 LAN 上 去 。 

单 路 径 广播 帧 需要 生成 树 的 支持 ， 生 成 树 可 以 像 上 一 小 节 那 样 自 动产 生生 成 树 ， 也 可 由 手 
工 输入 配置 生成 树 。 只 有 在 生成 树 中 的 网 桥 才 参与 这 种 帧 的 转发 ， 因 而 上 只 有 一 个 副本 到 达 目 标 
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站 。 与 全 路 广播 帧 类 似 ， 这 种 帧 的 路 由 信息 也 是 由 沿路 各 网 桥 自动 加 上 去 的 。 

源 站 可 以 利用 后 两 种 帧 发 现 目标 站 的 地 址 。 例 如 ， 源 站 向 目标 站 发 送 一 个 全 路 广播 帧 ， 目 
标 站 以 非 广播 帧 响应 并 且 对 每 一 条 路 径 来 的 副本 都 给 出 一 个 回答 。 这 样 源 站 就 知道 了 到 达 目 标 
站 的 各 种 路 径 ， 可 选取 一 种 作为 路 由 信息 。 另 外 ， 源 站 也 可 以 向 目标 站 发 送 单 路 径 广播 帧 ， 目 
标 站 以 全 路 广播 帧 响应 ， 这 样 源 站 也 可 以 知道 到 达 目 标的 所 有 路 径 。 


2.， 寻 址 模式 


路 由 指示 和 MAC 寻 址 模式 有 一 定 的 关系 。 寻 址 模式 有 以 下 3 种 。 

(1) 单 播 地 址 :指明 唯一 的 目标 地 址 。 

(2) 组 播 地 址 : 指明 一 组 工作 站 的 地 址 。 

(3) 广播 地 址 : 表示 所 有 站 。 

从 用 户 的 角度 看 ， 由 网 桥 互 连 的 所 有 局 域 网 应 该 像 单个 网 络 一 样 ， 所 以 以 上 3 种 寻 址 方式 
应 在 整个 网 络 范围 内 有 效 。 当 MAC 帧 的 目标 地 址 为 以 上 3 种 寻 址 模式 时 ， 与 4 种 路 由 指示 结 
合 可 产生 不 同 的 接收 效果 ， 如 表 4-14 所 示 。 

















表 4-14 不同 寻 址 模式 和 路 由 指示 组 合 的 接收 效果 


示 
le 非 广 播 全 路 广播 单 路 径 广播 


单 地 址 同一 LAN 上 的 目 | 不 在 同一 LAN 上 | 在 任何 LAN 上 的 | 在 任何 LAN 上 的 
标 站 目标 目标 站 目标 站 






< LAN 上 的 一 四 特 网 中 指定 路 和 本 i 
rr en a 
- 四 LAN 上 的 所 再 向 中 指定 友和 | 
Ft a 





从 表 4-14 看 出 ， 如 果 不 说 明 路 由 信息 ， 则 帧 只 能 在 源 站 所 在 的 LAN 内 传播 ; 如 果 说 明了 
路 由 信息 ， 则 帧 可 沿 预定 路 径 到 达 沿 路 各 站 。 在 两 种 广播 方式 中 ， 因 特 网 中 的 任何 站 都 会 收 到 
帧 。 但 若是 用 于 探 询 到 达 目 标 站 的 路 径 ， 则 只 有 目标 给 予 响应 。 全 路 广播 方式 可 能 产生 大 量 的 
重复 帧 ， 从 而 引起 所 谓 的“ 帧 爆炸 ”问题 。 单 路 径 广播 产生 的 重复 帧 少 很 多 ， 但 需要 生成 树 的 
支持 。 


4.5 城 域 网 


城 域 网 比 局 域 网 的 传输 距离 远 ， 能 够 覆盖 整个 城市 范围 。 城 域 网 作为 开放 型 的 综合 平台 ， 


量 13> 荐 。 网 儿 工 程 山 教程 (第 5 版 ) 


要 求 能 够 提供 分 组 传输 的 数据 、 语 音 、 图 像 和 视频 等 多 媒体 综合 业务 。 城 域 网 要 比 局 域 网 有 更 
大 的 传输 容量 ， 更 高 的 传输 效率 ， 还 要 有 多 种 接 入 手段 ， 以 满足 不 同 用 户 的 需要 。 这 一 节 讨论 
城 域 网 的 组 网 技术 。 


4.5.1 城 域 以 太 网 


以 太 网 技术 的 成 熟 和 广泛 应 用 推动 了 以 太 网 向 城 域 网 领域 扩展 。 但 是 ， 传 统 的 以 太 网 协议 
是 为 小 范围 的 局 域 网 开发 的 ， 在 应 用 于 更 大 范围 的 城 域 网 时 存在 下 面 一 些 局 限 性 。 

(1) 传输 效率 不 高 。 在 局 域 网 中 采用 的 广播 通信 方式 要 求 发 送 站 占用 全 部 带宽 ， 同 时 以 太 
网 的 党 争 发 送 机 制 要 求 把 传输 距离 限制 在 较 小 的 范围 内 。 城 域 网 通常 可 达 上 百 公 里 的 传输 距 
离 ， 这 种 情况 下 必然 造成 部 分 带宽 的 浪费 。 

(2) 局 域 网 应 付 通 信 故 障 的 机 制 不 完善 ， 没 有 故障 隔离 和 自 愈 能 力 。 在 服务 范围 扩大 到 整 
个 城市 范围 时 ， 网 络 故 障 的 影响 不 可 忽视 ， 自 动 故 障 隔 离 和 快速 网 络 自 愈 变 得 很 重要 。 

(3) 局 域 网 不 能 提供 服务 质量 保证 。 城 域 网 用 户 的 需求 是 多 种 多 样 的， 日 益 发 展 的 多 媒体 
业务 要 求 提供 有 保障 的 服务 质量 (QoS)。 

(4) 局 域 网 的 管理 机 制 不 完善 。 对 于 大 的 城 域 网 ， 要 求 简单 、 易 行 的 OA&M (Operation 
Administration and Management) 功能 。 

城 域 以 太 网 论坛 (Metro Ethernet Forum，MEF) 是 由 网 络 设备 制造 商 和 网 络 运营 商 组 成 的 
非 盘 利 组 织 ， 专 门 从 事 城 域 以 太 网 的 标准 化 工作 。MEF 的 承载 以 太 网 (Carrier Ethernet) 技术 
规范 提出 了 以 下 几 种 业务 类 型 。 

(1) 以 太 网 专用 线 (Ethemet Private Line，EPL )。 在 一 对 用 户 以 太 网 之 间 建 立 固定 速率 的 

(2) 以 太 网 虚拟 专线 (Ethemet Virtual Private Line，EVPL)。 在 一 对 用 户 以 太 网 之 间 通 过 
第 三 层 技术 提供 点 对 点 的 虚拟 以 太 网 连接 ， 支持 承 诺 的 信息 速率 〈CIR)、 峰 值 信息 速率 (PIR) 
和 突 发 式 通信 。 

(3) 以 太 局 域 网 服务 (E-LAN Services)。 由 运营 商 建立 一 个 城 域 以 太 网 ， 在 用 户 以 太 网 之 
间 提供 多 点 对 多 点 的 第 二 层 连接 ， 任 意 两 个 用 户 以 太 网 之 间 都 可 以 通过 城 域 以 太 网 通信 。 

其 中 的 第 3 种 技术 被 认为 是 最 有 前 途 的 解决 方案 。 提供 E-LAN 服务 的 基本 技术 是 802.1q 
的 VLAN 帧 标记 。 假 定 各 个 用 户 的 以 太 网 称 为 C- 网 ， 运 营 商 建立 的 城 域 以 太 网 称 为 S- 网 。 如 
果 不 同 C- 网 中 的 用 户 要 进行 通信 ， 以 太 帧 在 进入 用 户 网 络 接口 (User-Network Interface，UND) 
时 被 插入 一 个 S-VID (Server ProviderVLAN ID) 字段 ， 用 于 标识 S- 网 中 的 传输 服务 ， 而 用 户 
的 VLAN 帧 标记 〈C-VID) 则 保持 不 变 ， 当 以 太 帧 到 达 目 标 C- 网 时 ，S-VID 字段 被 删除 ， 如 图 
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4-35 所 示 ， 这 样 就 解决 了 两 个 用 户 以 太 网 之 间 透 明 的 数据 传输 问题 。 这 种 技术 定义 在 IEEE 
802.1ad 的 运营 商 网 桥 协 议 (Provider Bridge Protocol) 中 ， 被 称 为 Q-in-Q 技术 。 


C-MAC DA 
C-MAC DA C-MAC SA C-MAC DA 
C-MAC SA S-VID C-MAC SA 
C-VID C-VID 国共 | CD 
C-EtherType C-EtherType C-EthcrTypc 
C-Payload C-Payload C-Payload 


S-VID tag added S-VID tag removed 
1 1 


! | 
' 和 ' 
Customer Provider Customer 
network 2 network J network 


UNI UNI 
图 4-35 ”802.1ad 的 帧 格式 


Q-in-Q 实际 上 是 把 用 户 VLAN 媒 套 在 城 域 以 太 网 的 VLAN 中 传送 ， 由 于 其 简单 性 和 有 效 
性 而 得 到 电信 运营 商 的 青睐 。 但 是 这 样 一 来 ， 所 有 用 户 的 MAC 地 址 在 城 域 以 太 网 中 都 是 可 见 
的 , 任何 C- 网 的 改变 都 会 影响 到 S- 网 的 配置 , 增加 了 管理 的 难度 。 而 且 S-VID 字段 只 有 12 位 ， 
只 能 标识 4096 个 不 同 的 传输 服务 ， 网 络 的 可 扩展 性 也 受到 限制 。 从 用 户 角度 看 ， 网 络 用 户 的 
MAC 地 址 都 暴露 在 整个 城 域 以 太 网 中 ， 使 得 网 络 的 安全 性 受到 威胁 。 

为 了 解决 上 述 问题 ，IPEEE 802.1ah 标准 提出 了 运营 商 主干 网 桥 (Provider Backbone Bridge， 
PBB) 协议 。 所 谓 主 干 网 桥 ， 就 是 运营 商 网 络 边界 的 网 桥 ， 通 过 PBB 对 用 户 以 太 帧 再 封装 一 层 
运营 商 的 MAC 帧 头 ,添加 主干 网 目标 地 址 和 源 地 址 (B-DA,B-SA) ,主干 网 VLAN 标识 (B-VID) 
以 及 服务 标识 〈ILSID) 等 字段 ， 如 图 4-36 所 示 。 由 于 用 户 以 太 帧 被 封装 在 主干 网 以 太 帧 中 ， 
所 以 这 种 技术 被 称 为 MAC-in-MAC 技术 。 

按照 802.1ah 协议 ， 主 干 网 与 用 户 网 具有 不 同 的 地 址 空间 。 主 干 网 的 核心 交换 机 只 处 理 通 
常 的 以 太 网 帧 头 ， 仅 主干 网 边界 交换 机 才 具 有 PBB 功能。 这样 ， 用 户 网 和 主干 网 被 PBB 隔离 ， 
使 得 扁平 式 的 以 太 网 变 成 了 层次 化 结构 , 简化 了 网 络 管理 , 保证 了 网 络 安全 。802.1ah 协议 规定 
的 服务 标识 (I-SID) 字段 为 24 位， 可 以 区 分 1600 万 种 不 同 的 服务 ， 使 得 网 络 的 扩展 性 得 以 提 
升 。 由 于 采用 了 二 层 技术 ， 没 有 复杂 的 信 令 机 制 ， 因 此 设备 成 本 和 维护 成 本 较 低 ， 被 认为 是 城 
域 以 太 网 的 最 终 解决 方案 。 目 前 ，IEEE 802.1ah 标准 正在 完善 之 中 。 

















胃 134 荐 。 网 络 工程 山 教 程 (第 5 版 ) 


























| 服务 ID 















































DA= 用 户 的 目标 地 址 。 I-SID= 服 务 ID BDA 

SA= 用 户 的 源 地 址 B-VID= 主 干 网 桥 VID 
VID=VLAN ID B-DA= 主干 网 目标 地 址 

C-VID= 用 户 的 VID B-SA= 主 干 网 源 地 址 类 型 

SVID= 服务 商 的 VID BVID 

类 型 

ISID 

DA DA DA DA 

SA SA SA SA 

类 型 类 型 类 型 类 型 

训 坟 VID SVID SVID 

类 型 类 型 类 型 

Rs CVID CVID 

类 型 类 型 

负载 负载 

(a) 802.1 (b) 802.1q (¢) 802.1ad (d) 802.1ah 


按照 图 4-36 的 封装 层次 ， 组 成 的 城 域 以 太 网 如 图 4-37 所 示 。 





图 4-36 城 域 以 太 网 的 帧 格式 


图 4-37 城 域 以 太 网 
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4.5.2 ”弹性 分 组 环 


弹性 分 组 环 (Resilient Packet Ring，RPR) 是 一 种 采用 环 型 拓扑 的 城 域 网 技术 。2004 年 公 
布 的 IEEE 802.17 标准 定义 了 RPR 的 介质 访问 控制 方法 、 物 理 层 接口 以 及 层 管理 参数 ， 并 提出 
了 用 于 环 路 检测 和 配置 、 失 效 恢复 以 及 带宽 管理 的 一 系列 协议 。802.17 标准 也 定义 了 环 网 与 各 
种 物理 层 的 接口 和 系统 管理 信息 库 。RPR 支持 的 数据 速率 可 达 10Gbps。 

1. 体系 结构 


RPR 的 体系 结构 如 图 4-38 所 示 。MAC 服务 接口 提供 上 层 协议 的 服务 原 语 ，MAC 控制 子 
层 控 制 MAC 数据 通路 ， 维 护 MAC 状态 ， 并 协调 各 种 MAC 功能 的 相互 作用 ;MAC 数据 通路 
子 层 提供 数据 传输 功能 ，MAC 子 层 通 过 PHY 服务 接口 发 送 /接收 分 组 。 


































OSIRM RPR 分 层 
高 层 
应 用 层 
表示 层 / 逻辑 链 路 控制 子 层 MAC 服 务 接口 
会 请 有 | / MAC 控 制 
传输 层 | // ”| 公平 性 ] [拓扑 和 保护 ] [ OAM ] 
网 络 层 |/ 3 
数据 链 路 层 | PHY 服 务 接口 
和 本 层 | 物理 层 
传输 介质 





图 4-38 PRP 体系 结构 


RPR 采用 了 双环 结构 ， 由 内 层 的 环 1 (ringlet 1) 和 外 层 的 环 0 (ringlet 0) 组 成 ， 每 个 环 
都 是 单方 向 传送 ， 如 图 4-39 所 示 。 相 邻 工作 站 之 间 的 跨 距 (span) 包含 传送 方向 相反 的 两 条 链 
路 〈link)。 如 果 葵 站 接收 立 站 发 出 的 分 组 ， 则 和 是 立 的 下 游 站 ， 而 立 是 XX 的 上 游 站 。RPR. 
支持 多 达 255 个 工作 站 ， 最 大 环 周 长 为 2000km。 
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图 4-39 PRP 拓扑 结构 
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2. 数据 传送 


工作 站 之 间 的 数据 传送 有 单 播 (Unicast)、 单 向 泛 洪 〈Unidirectional flooding)、 双 向 泛 洪 
(Bidirectional fooding) 和 组 播 (Multicast) 等 几 种 方式 。 单 播 传送 如 图 4-40 所 示 。 发 送 站 可 
以 利用 环 1 或 环 0 向 它 的 下 游 站 发 送 分 组 ， 数 据 帧 到 达 目 标 站 时 被 复制 并 从 环 上 和 剥离 〈strip)。 




































































cab strip strip 1 
(C537 5 5 54 55 w 7 ) Cs 6 57™) 
(a) 环 0 上 的 单 播 (b) 环 1 上 的 单 播 
图 4-40 单 播 传 送 


泛 洪 传播 是 由 一 个 站 向 多 个 目标 站 发 送 分 组 。 单 向 泛 洪 有 两 种 方式 。 数 据 帧 中 有 一 个 历 
(time to live) 字段 ， 发 送 站 将 其 初始 值 设 置 为 目标 站 数 ， 分 组 每 经 过 一 站 ， 胡 减 1， 当 好 为 0 
时 到 达 最 后 一 个 接收 站 ， 分 组 被 复制 并 剥离 ， 如 图 4-41 (a) 所 示 。 另 外 一 种 泛 洪 方式 是 分 组 
返回 发 送 站 时 被 剥离 ， 如 图 4-41 (b) 所 示 。 






























































copy add copy copy copy “Fp copy copy add copy copy copy copy copy 
= | 二 
[LS Ss2 5 S4 S5 5S6 57 ] (Cs S37 S3 S4 S5 S6 S7 | 
(a) 为 0 时 删除 (b) 返回 发 送 站 删除 


图 4-41 单 向 泛 洪 传播 


双向 泛 洪 要 利用 两 个 环 同 时 传播 ， 在 两 个 方向 发 送 的 分 组 中 设置 不 同 的 也 值 ， 当 分 组 达 
到 最 后 一 个 目标 站 时 被 复制 并 剥离 , 如 图 4-42 (a) 所 示 。 如 果 环 上 有 一 个 分 裂 点 (leave point)， 
这 时 形成 了 开放 环 ， 如 图 4-42 (b) 中 的 垂直 虚线 所 示 ， 在 这 种 情况 下 ， 发 送 站 要 根据 分 裂 点 
的 位 置 设置 两 个 不 同 的 好 的 值 。 


copyl adds copy0 copy0 copy0 copyl copyl copyl adds copy0 copy0 copy0 copy0 copy0 
本 





















































i | 了 [ra 个 
Sl S2 S3  S4 S5 S6 S57 | UL! S2 本 S3  S4 S5 S6 S57 








(a) 双向 闭合 环 泛 洪 (b) 双向 开放 环 泛 洪 


图 4-42 双向 泛 洪 传播 


组 播 分 组 可 以 利用 单 向 或 双向 泛 洪 方式 发 送 ， 组 播 成 员 由 分 组 头 中 的 目标 地 址 字段 指定 。 
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3. 基本 帧 格式 


PRP 中 传送 的 分 组 有 数据 帧 、 控 制 帧 、 公 平 帧 和 闲置 帧 等 多 种 格式 ， 基 本 帧 格式 如 图 4-43 
所 示 。 如 果 传 送 以 太 帧 , 则 把 以 太 帧 中 的 目标 地 址 和 源 地 址 复制 到 da 和 sa 字段 ， 把 protoco1Tjpe 
字段 设置 为 以 太 帧 的 标识 , 并 把 以 太 帧 中 的 服务 数据 单元 和 CRC 校 验 和 复制 到 serviceDataUnit 
和 jes 字段 ， 如 图 4-44 所 示 。 

















1 元 到 达 目 标的 跳 步 数 (time to live) 
1 baseContol 帧 类 型 ， 服 务 类 ， 基 线 控制 
6 da 目标 地 址 (48 位) 
6 sa 源 地 址 
1 MlBase ttl 初始 值 
1 ExtendedControl 扩展 的 洪 泛 和 一 致 性 检查 
2 hec 帧 头 的 CRC 校 验 和 (16 位) 
p> protrocolType 封装 的 协议 类 型 
n serviceDataUnit 上 层 协议 的 服务 数据 单元 
站 fes 协议 类 型 和 服务 数据 单元 

二 - 的 CRC 校 验 和 32 位 ) 





图 4-43 PRP 基本 帧 格式 















































SN 
NS 

/ 2 ExtendedControl XY 

目标 地 址 A hec | 目标 地 址 
源 地 址 ProtocolType 源 地 址 
服务 数据 单元 广 一 一 | serviceDutuUnit [一 一 | 服务 数据 单元 
FCS 上 一 一 | 到 三 = 机 FCS 
源 站 发 出 的 以 太 由 | i 


图 4-44 以太 帧 在 RPR 环 上 的 传播 
4. RPR 的 关键 技术 
下 面 介绍 RPR 的 几 个 关键 技术 。 
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(1) 业务 类 型 。RPR 支持 3 种 业务 。A 类 业务 提供 保证 的 带宽 ， 提 供与 传输 距离 无 关 的 很 
小 的 延迟 抖动 ， 适 合 语音 、 视 频 等 电路 仿真 应 用 ; B 类 业务 提供 保证 的 带宽 ， 提 供与 传输 距离 
相关 的 有 限 的 延迟 抖动 ， 可 以 超 信 息 速率 (Excess Information Rate，EIR) 传输 ， 适 合 企业 数 
据 传输 方面 的 应 用 ;，C 类 业务 提供 尽力 而 为 的 服务 ， 适 合用 户 的 因特网 接 入 。 

(2) 空间 复 用 。RPR 的 空间 复 用 协议 〈Spatial Reuse Protocol，SRP) 提供 了 寻 址 、 读 取 分 
组 、 管 理 带宽 和 传播 控制 信息 等 功能 。 在 RPR 环 上 ， 数 据 帧 被 目标 站 从 环 上 和 剥离， 而 不 是 像 其 
他 环 网 那样 返回 源 节点 后 被 剥离 。 这 样 就 使 得 多 个 节点 分 成 多 段 线路 同时 传输 数据 ， 充 分 利用 
了 整个 环 路 的 带宽 。 例 如 ， 环 上 依次 有 A、B、C、D 这 4 个 节点 ， 分 组 经 过 A 节点 到 达 B 节 
点 被 剥离 ， 另 外 的 分 组 可 以 从 B 节点 插入 ， 并 经 C 传送 到 D 节点 ， 从 而 有 效 地 利用 了 环 上 A 
到 D 之 间 的 带宽 。 

(3) 拓扑 发 现 。RPR 拓扑 发 现 是 一 种 周期 性 活动 ， 也 可 以 由 某 个 需要 知道 拓扑 结构 的 节点 
发 起 。 在 拓扑 发 现 过 程 中 ， 拓 扑 发 现 分 组 经 过 的 节点 把 自己 的 标识 符 加 入 到 分 组 中 的 标识 符 队 
列 ， 产 生 一 个 新 的 拓扑 发 现 分 组 ， 这 样 就 形成 了 拓扑 识别 的 累积 效应 。 通 过 拓扑 发 现 ， 节 点 可 
以 选择 最 佳 的 插入 点 ， 使 得 源 节点 到 达 目 的 节点 的 跳 步 数 最 小 。 

(4) 公平 算法 。 公 平 算法 是 一 种 保证 环 上 所 有 站 点 公平 地 分 配 带宽 的 机 制 。 如 果 一 个 节点 
发 生 阻 塞 ， 它 就 会 在 相反 的 环 上 向 上 游 节 点 发 送 一 个 公平 帧 。 上 游 站 点 收 到 这 个 公平 帧 时 就 调 
整 自己 的 发 送 速率 使 其 不 超过 公平 速率 。 一 般 来 说 ， 接 收 到 公平 帧 的 站 点 会 根据 具体 情况 做 出 
两 种 反应 : 若 当前 节点 阻塞 ， 它 就 在 自己 的 当前 速率 和 收 到 的 公平 速率 之 间 选 择 一 个 最 小 值 ， 
并 发 布 给 上 游 节点 ; 若 当前 节点 不 阻塞 ， 就 不 采取 任何 行动 。 

(5) 环 自 愈 保护 。 当 RPR 环 中 出 现 严 重 故障 或 者 发 生 光 纤 中 断后 ， 中 断 处 的 两 个 站 点 就 
会 发 出 控制 帧 ， 沿 光纤 方向 通知 各 个 节点 。 正 要 发 送 数据 的 站 点 接收 到 这 个 消息 后 ， 立 即 把 要 
发 送 的 数据 倒 换 到 另 一 个 方向 的 光纤 上 。 一 般 来 说 ， 在 环保 护 切 换 时 ， 要 按照 业务 流 的 不 同 服 
务 等 级 、 根 据 相 同 目标 一 起 倒 换 原 则 依次 向 反 向 光纤 倒 换 业 务 。RPR 和 SDH 一 样 ， 能 保证 业 
务 的 倒 换 时 间 少 于 50ms。 
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无 线 通 信 网 包括 面向 语音 通信 的 移动 电话 系统 以 及 面向 数据 传输 的 无 线 局 域 网 和 无 线 广 
域 网 。 随 着 无 线 通信 技术 的 发 展 ， 计 算 机 网 络 正在 由 固定 通信 系统 向 移动 通信 系统 发 展 ， 传 统 
的 移动 电话 网 也 向 语音 和 数据 综合 传输 的 移动 通信 网 转变 ， 二 者 的 融合 使 得 Internet 变 得 无 所 
不 在 ， 并 且 更 加 便捷 和 实用 。 本 章 概述 移动 电话 网 的 发 展 历程 ， 并 详 述 无 线 局 域 网 和 无 线 城 域 
网 的 体系 结构 和 实用 技术 ， 最 后 展望 了 新 一 代 移 动 通信 网 的 发 展 方向 。 


5.1 ”移动 通信 


移动 电话 是 最 方便 的 个 人 通信 工具 。 从 第 一 代 〈1G) 到 第 三 代 (3G) 移动 通信 系统 都 是 
针对 话音 通信 设计 的 ， 只 有 未 来 的 4G 才 可 能 与 mtemet 无 颖 地 集成 。 但 是 在 2G 和 3G 时代， 
由 于 笔记 本 电脑 的 迅速 普及 ， 通 过 移动 电话 网 访问 Intemet 已 经 成 为 许多 用 户 的 选择 。 


5.1.1 蜂窝 通信 系统 


1978 年 ， 美 国 贝尔 实验 室 开 发 了 高 级 移动 电话 系统 (Advanced Mobile Phone System， 
AMPS)， 这 是 第 一 个 具有 随时 随地 通信 能 力 的 大 容量 移动 通信 系统 。AMPS 采用 模拟 制式 的 频 
分 双 工 (Frequency Division Duplex, FDD) 技术 , 用 一 对 频率 分 别提 供 上 行 和 下 行 信道 。AMPS 
采用 蜂 窜 技术 解决 了 公用 移动 通信 系统 所 面临 的 大 容量 要 求 与 频谱 资源 限制 的 矛盾 。 到 了 1980 
年 中 期 ， 欧 洲 和 日 本 都 建立 了 第 一 代 蜂 窝 移动 电话 系统 。 

蜂窝 网 络 把 一 个 地 理 区 域 划 分 成 若干 个 称 为 蜂窝 的 小 区 (Cell)。 在 模拟 移动 电话 系统 中 ， 
一 个 话音 连接 要 占用 一 个 单独 的 频率 。 如 果 把 通信 网 络 履 盖 的 地 区 划分 成 一 个 一 个 的 小 区 ， 则 
在 不 同 小 区 之 间 就 可 以 实现 频率 复 用 。 在 图 5-1 中 ， 一 个 基站 覆盖 的 小 区 用 一 个 字母 来 代表 ， 
在 一 个 小 区 内 可 以 用 一 组 频率 提供 一 组 用 户 进行 通话 。 相 邻 小 区 不 能 使 用 相同 的 通信 频率 ， 同 
一 字母 〈 例 如 A) 代表 的 小 区 可 以 使 用 同样 的 通信 频率 ， 使 用 同样 频率 的 小 区 之 间 有 两 个 频率 
不 同 的 小 区 作为 分 隔 。 如 果 要 增加 通信 频率 的 复 用 程度 ， 可 以 把 小 区 划分 得 更 小 。 

当 用 户 移动 到 一 个 小 区 的 边沿 时 , 电话 信号 的 衰减 程度 提醒 相 邻 的 基站 进行 切换 (handoff) 
操作 ， 正 在 通话 的 用 户 就 自动 切换 到 另 一 个 小 区 的 频段 继续 通话 。 切 换 过 程 是 通过 移动 电话 交 
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换 局 (MTSO) 在 相 邻 的 两 个 基站 之 间 进 行 的 ， 不 需要 电话 用 户 的 干预 。 


B 
B G C 


= 
A;AF AD 
Dooo20% 
B 
GAC 
A 
FAD 
E 


图 5-1 蜂窝 通信 系统 的 频率 复 用 











5.1.2 ”第 一 代 移动 通信 系统 


第 二 代 移 动 通信 系统 是 数字 蜂 窜 电话， 在 世界 不 同 的 地 方 采用 了 不 同 的 数字 调制 方式 。 
我 国 最 初 采用 欧洲 电信 的 GSM (Global System for Mobile) 系统 和 美国 高 通 公司 的 码 分 多 址 
CCDMA) 系统 。 

1， 全 球 移动 通信 系统 GSM 


GSM 系统 工作 在 900 一 1800MHz 频段 , 无 线 接口 采用 TDMA 技术 , 提供 话音 和 数据 业务 。 
图 5-2 所 示 为 工作 在 900MHz 频段 的 GSM 系统 的 频带 利用 情况 。 
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图 5-2 GSM 的 TDMA 系统 


图 5-2 中 的 每 一 行 表示 一 个 带宽 为 200kHz 单 工 信 道 ，GSM 系统 有 124 对 这 样 的 单 工 信 道 
(上 行 链 路 890 一 915MHz， 下 行 链 路 935 一 960MHz)， 每 一 个 信道 采用 时 分 多 路 (TDMA ) 方式 
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可 支持 8 个 用 户 会 话 , 在 一 个 蜂窝 小 区 中 同时 通话 的 用 户 数 为 124X 8=992。 为 同一 用 户 指 定 的 
上 行 链 路 与 下 行 链 路 之 间 相差 3 个 时 槽 ， 如 图 中 的 阴影 部 分 所 示 ， 这 是 因为 终端 设备 不 能 同时 
发 送 和 接收 ， 需 要 留 出 一 定时 间 在 上 下 行 信道 之 间 进 行 切换 。 

2. 码 分 多 址 技术 


美国 高 通 公 司 (Qualcomm) 的 第 二 代数 字 蜂 窝 移动 通信 系统 工作 在 800MHz 频段 , 采用 码 
分 多 址 (CDMA) 技术 提供 话音 和 数据 业务 ， 因 其 频率 利用 率 高 ， 所 以 同样 的 频率 可 以 提供 更 
多 的 话音 信道 ， 而 且 通 话 质量 和 保密 性 也 较 好 。 

人 码 分 多 址 (Code Division Multiple Access，CDMA) 是 一 种 扩 频 多 址 数字 通信 技术 ， 通 过 
独特 的 代码 序列 建立 信道 。 在 CDMA 系统 中 ， 对 不 同 的 用 户 分 配 了 不 同 的 码 片 序列 ， 使 得 彼此 
不 会 造成 干扰 。 用 户 得 到 的 码 片 序列 由 +1 和 -1 组 成 ， 每 个 序列 与 本 身 进行 点 积 得 到 +1， 与 补 
码 进行 点 积 得 到 -1， 一 个 码 片 序列 与 不 同 的 码 片 序列 进行 点 积 将 得 到 0 〈 正 交 性 )。 例 如 ， 对 用 
户 A 分 配 的 码 片 系列 为 Ca (表示 “1”)， 其 补 码 为 Cao。( 表 示 “0”): 

Cn= Ll 

Ca = 0, 4D) 

对 用 户 B 分 配 的 码 片 序列 为 Ca (表示 “1”)， 其 补 码 为 Ce。( 表 示 “0”): 

Cmn= Gt 

Cs= 

则 计算 点 积 如 下 : 

oP oe We TE WW ee Re We We 

CaCao=(-1,—1,—1,—1) .1+1,+1,+1) /4=1 

Carecm= 

CaCm= Cl DC 

在 码 分 多 址 通信 系统 中 ， 不 同 用 户 传输 的 信号 不 是 用 频率 或 时 隙 来 区 分 ， 而 是 使 用 不 同 的 
人 码 片 序列 来 区 分 。 如 果 从 频 域 或 时 域 来 观察 ， 多 个 CDMA 信号 是 互相 重合 的 。 接 收 机 用 相关 
器 可 以 在 多 个 CDMA 信号 中 选 出 预定 的 码 型 信号 ， 其 他 不 同 码 型 的 信号 因为 和 接收 机 产生 的 
码 型 不 同 而 不 能 被 解 调 ， 它 们 的 存在 类 似 于 信道 中 存在 的 噪声 和 干扰 信号 ， 通 常 称 之 为 多 址 
干扰 。 

在 CDMA 蜂窝 通信 系统 中 , 用 户 之 间 的 信息 传输 是 由 基站 进行 控制 和 转发 的 。 为 了 实现 双 
工 通信 ， 正 向 传输 和 反 向 传输 各 使 用 一 个 频率 ， 即 所 谓 的 频 分 双 工 (FDD) 技术 。 无 论 正 向 传 
输 或 反 向 传输 ， 除 去 传输 业务 信息 外 ， 还 必须 传输 相应 的 控制 信息 。 为 了 传送 不 同 的 信息 ， 需 
要 设置 不 同 的 信道 。 但 是 ，CDMA 通信 系统 既 不 分 频道 又 不 分 时 际 ， 无 论 传 输 何 种 信息 的 信道 
都 采用 不 同 的 码 型 来 区 分 。 
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3. 第 二 代 移动 通信 升级 版 2.5G 


2.5G 是 比 2G 速度 快 、 但 又 慢 于 3G 的 通信 技术 规范 。2.5G 系统 能 够 提供 3G 系统 中 才 有 
的 一 些 功能 ， 例 如 分 组 交换 业务 ， 也 能 共享 2G 时 代 开 发 出 来 的 TDMA 或 CDMA 网 络 。 常 见 的 
2.5G 系统 是 通用 分 组 无 线 业 务 GPRS (General Packet Radio Service)。GPRS 分 组 网 络 重 琶 在 
GSM 网 络 之 上 ， 利 用 GSM 网 络 中 未 使 用 的 TDMA 信 道 为 用 户 提供 中 等 速度 的 移动 数据 业务 。 

GPRS 是 基于 分 组 交换 的 技术 ,也 就 是 说 多 个 用 户 可 以 共享 带宽 ,适合 于 像 Web 浏 览 E-mail 
收发 和 即时 消息 那样 的 共享 带宽 的 间歇 性 数据 传输 业务 。 通 常 ，GPRS 系统 是 按 交 换 的 字 节 数 
计 费 ， 而 不 是 按 连 接 时 间 计 费 的 。GPRS 系统 支持 耻 协 议和 PPP 协 议 。 理 论 上 的 分 组 交换 速度 大 
约 是 170kbps， 而 实际 速度 只 有 30 一 70kbps。 

对 GPRS 的 射频 部 分 进行 改进 的 技术 方案 称 为 增强 数据 速率 的 GSM 演进 (Enhanced Data 
rates for GSM Evolution，EDGE)。EDGE 又 称 为 增强 型 GPRS (EGPRS)， 可 以 工作 在 已 经 部 署 
GPRS 的 网 络 上 , 只 需要 对 手机 和 基站 设备 做 一 些 简单 的 升级 即 可 ,EDGE 被 认为 是 2.75G 技术 ， 
采用 8PSK 的 调制 方式 代替 了 GSM 使 用 的 高 斯 最 小 移 位 键 控 (GMSK) 调制 方式 ， 使 得 一 个 码 
元 可 以 表示 3 位 信息 。 从 理论 上 说 , EDGE 提供 的 数据 速率 是 GSM 系统 的 3 倍 。2003 年 , EDGE 
被 引入 北美 的 GSM 网 络 ， 支 持 20 一 200kbps 的 高 速 数据 传输 。 


5.1.3 ”第 三 代 移动 通信 系统 


1985 年 , ITU 提出 了 对 第 三 代 移动 通信 标准 的 需求 , 1996 年 正式 命名 为 IMT-2000 (Interna- 
tional Mobile Telecommunications-2000)， 其 中 的 2000 有 3 层 含 义 : 

。 ”使 用 的 频段 在 2000MHz 附近 。 

。 ”通信 速率 大 约 为 2000kbps( 即 2Mbps)。 

。 ”预期 在 2000 年 推广 商用 。 

1999 年 ITU 批准 了 5 个 IMT-2000 的 无 线 电 接口 ， 这 5 个 标准 如 下 。 

。 IMTDS (Direct Spread): 即 W-CDMA, 属于 频 分 双 工 模式 , 在 日 本 和 欧洲 制定 的 UMTS 


系统 中 使 用 。 
。 IMTMC (Multi-Carier): 即 CDMA-2000， 属 于 频 分 双 工 模式 ， 是 第 二 代 CDMA 系 统 
的 继承 者 。 


。 IMTTC (Time-Code): 这 一 标准 是 中 国 提 出 的 TD-SCDMA， 属 于 时 分 双 工 模式 。 

。 IMTSC (Single Carrier): 也 称 为 EDGE， 是 一 种 2.75G 技 术 。 

。 IMT-FT (Frequency Time): 也 称 为 DECT。 

2007 年 10 月 19 日 ,ITU 会 议 批准 移动 WiIMAX 作 为 第 6 个 3G 标准 , 称 为 IMT2000 OFDMA 
TDD WMAN， 即 无 线 城 域 网 技术 。 
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第 三 代数 字 蜂 窟 通信 系统 提供 第 二 代 蜂 帘 通 信 系统 提供 的 所 有 业务 类 型 ， 并 支持 移动 多 媒 
体 业 务 。 在 高 速 车 辆 行驶 时 支持 144kbps 的 数据 速率 ， 在 步行 和 慢 速 移动 环境 下 支持 384kbps 
的 数据 速率 ， 在 室内 静止 环境 下 支持 2Mbps 的 高 速 数据 传输 ， 并 保证 可 靠 的 服务 质量 。 

在 3G 网 络 广泛 部 署 的 同时 , 第 四 代 (4G ) 移 动 通信 系统 也 在 加 紧 研 发 。 高 速 分 组 接 入 (High 
Speed Packet Access，HSPA) 是 W-CDMA 第 一 个 向 4G 进化 的 技术 ， 继 HSPA 之 后 的 高 速 上 行 
分 组 接 入 〈High Speed Uplink Packet Access，HSUPA) 是 一 种 被 称 为 3.75G 的 技术 ， 在 SMHz 
的 载波 上 数据 速率 可 达 10 一 153Mbps， 如 采用 MIMO 技术 ， 还 可 以 达到 28Mbps。 

4G 的 传输 速率 应 该 达到 100Mbps， 可 以 把 蓝牙 个 域 网 、 无 线 局 域 网 (Wi-Fi) 和 3G 技术 
等 结合 在 一 起 ， 组 成 无 颖 的 通信 和 解决 方案 。 不 同 的 无 线 通信 系统 对 数据 传输 速度 和 移动 性 的 支 
持 各 不 相同 ， 如 图 5-3 所 示 。 





图 5-3 ”通信 速率 和 移动 性 


5.2 无 线 局 域 网 


5.2.1 ”WLAN 的 基本 概念 


无 线 局 域 网 Wireless Local Area Networks，WLAN) 技术 分 为 两 大 阵营 : IEEE 802.11 标 
准 体系 和 欧洲 邮电 委员 会 (CEPT) 制定 的 HPERLAN (High Performance Radio LAN) 标准 体 
系 。IEEE 802.11 标准 是 由 面向 数据 通信 的 计算 机 局 域 网 发 展 而 来 ,采用 无 连接 的 网 络 协议 , 目 
前 市 场 上 的 大 部 分 产品 都 是 根据 这 个 标准 开发 的 ; 与 之 对 抗 的 HIPERLAN-2 标准 则 是 基于 连接 
的 无 线 局 域 网 ， 致 力 于 面向 语音 的 蜂窝 电话 。 

IEEE 802.11 标准 的 制定 始 于 1987 年 ， 当 初 是 在 802.4 工 小 组 作为 令 牌 总 线 的 一 部 分 来 研 
究 的 ， 其 主要 目的 是 用 作 工 厂 设 备 的 通信 和 控制 设施 。1990 年 ，IEEE 802.11 小 组 正式 独立 出 
来 ,专门 从 事 制定 WLAN 的 物理 层 和 MAC 层 标准 的 工作 。1997 年 颁布 的 下 EE 802.11 标准 运 
行 在 2.4GHz 的 ISM (Industrial Scientific and Medical) 频段 ， 采 用 扩 频 通信 技术 ， 支 持 1Mbps 
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和 2Mbps 数据 速率 。 随 后 又 出 现 了 两 个 新 的 标准 ，1998 年 推出 的 下 EE 802.11b 标准 也 是 运行 
在 ISM 频段 ， 采 用 CCK (Complementary Code Keying) 调制 技术 ， 支 持 11Mbps 的 数据 速率 。 
1999 年 推出 的 下 EE 802.11a 标准 运行 在 U-NI (Unlicensed National Information Infrastructure) 
频段 ， 采 用 OFDM 调制 技术 ， 支 持 最 高 达 54Mbps 的 数据 速率 。2003 年 推出 的 IEEE 802.11g 
标准 运行 在 ISM 频段 ,与 IEEE 802.11b 兼容 , 数据 速率 提高 到 54Mbps。 早 期 的 WLAN 标准 主 
要 有 4 种 ， 如 表 5-1 所 示 。 





表 5-1 IEEE 802.11 标准 


名 称 工作 频段 调制 技术 数据 速率 
802.11 2.4GHz ISM 频段 DB/SK UMbpe 
DQPSK 2Mbps 

802.11b 5.5Mbps, 11Mbps 
802.11a 54Mbps 


802.11g ”| 2003 年 2.4GHz ISM 频段 | oFPM | 54Mbps 


IEEE 802.11 定义 了 两 种 无 线 网 络 拓扑 结构 ， 一 种 是 基础 设施 网 络 (Infrastructure 
Networking)， 另 一 种 是 特殊 网 络 (Ad Hoc Networking)， 如 图 5-4 所 示 。 在 基础 设施 网 络 中 ， 
无 线 终端 通过 接 入 点 (Access Point，AP) 访问 骨干 网 设备 。 接 入 点 如 同一 个 网 桥 ， 它 负责 在 
802.11 和 802.3 MAC 协议 之 间 进行 转换 。 一 个 接 入 点 覆盖 的 区 域 叫 作 一 个 基本 服务 区 (Basic 
Service Area，BSA)， 接 入 点 控制 的 所 有 终端 组 成 一 个 基本 服务 集 (Basic Service Set，BSS)。 
把 多 个 基本 服务 集 互 相连 接 就 形成 了 分 布 式 系统 (Distributed System，DS)。DS 支持 的 所 有 服 
务 叫 作 扩展 服务 集 (Extended Service Set，ESS)， 它 由 两 个 以 上 BSS 组 成 ， 如 图 5-5 所 示 。 



































接 入 点 1 
Ad Hoc 
L 
aa 
(a) 基础 设施 网 络 (b) Ad Hoc 网 络 


图 5-4 IEEE 802.11 定义 的 网 络 拓扑 结构 


Ad Hoc 网 络 是 一 种 点 对 点 连接 , 不 需要 有 线 网 络 和 接 入 点 的 支持 , 终端 设备 之 间 通 过 无 线 
网 卡 可 以 直接 通信 。 这 种 拓扑 结构 适合 在 移动 情况 下 快速 部 署 网 络 。802.11 支持 单 跳 的 Ad Hoc 
网 络 ， 当 一 个 无 线 终端 接 入 时 首先 寻找 来 自 AP 或 其 他 终端 的 信 标 信号 ， 如 果 找 到 了 信 标 ， 则 
AP 或 其 他 终端 就 宣布 新 的 终端 加 入 了 网 络 ; 如 果 没 有 检测 到 信 标 , 该 终端 就 自行 宣布 存在 于 网 


络 之 中 。 
信 ， 下 面 
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还 有 一 种 多 跳 的 Ad Hoc 网 络 ， 无 线 终端 用 接力 的 方法 与 相距 很 远 的 终端 进行 对 等 通 
详细 介绍 这 种 技术 。 





扩展 服务 集 ESS 





图 5-5 IEEE 802.11 定义 的 分 布 式 系统 


5.2.2”WLAN 通信 技术 
无 线 网 可 以 按照 使 用 的 通信 技术 分 类 。 现 有 的 无 线 网 主要 使 用 3 种 通信 技术 : 红外 线 、 扩 


展 频谱 和 


窄带 微波 技术 。 


1. 红外 通信 


红外 线 (Infrared Ray，IR) 通 信 技 术 可 以 用 来 建立 WLAN。IR 通信 相对 于 无 线 电 微波 通 
信 有 一 些 重 要 的 优点 。 首 先 红外 线 频谱 是 无 限 的 ， 因 此 有 可 能 提供 极 高 的 数据 速率 。 其 次 红外 
线 频 谱 在 世界 范围 内 都 不 受 管制 ， 而 有 些微 波 频 谱 则 需要 申请 许可 证 。 

另外 ， 红 外 线 与 可 见 光 一 样 ， 可 以 被 浅 色 的 物体 漫 反 射 ， 这 样 就 可 以 用 天 花 板 反射 来 覆盖 


整 间 房 间 
房间 内 的 


。 红 外 线 不 会 穿 透 墙壁 或 其 他 的 不 透明 物体 ， 因此 TR 通信 不 易 入 侵 ， 安 装 在 大 楼 各 个 
红外 线 网 络 可 以 互 不 干扰 地 工作 。 


红外 线 网 络 的 另 一 个 优点 是 它 的 设备 相对 简单 而 且 便 宜 。 红 外 线 数据 的 传输 技术 基本 上 是 
采用 强度 调制 ， 红 外 线 接收 器 只 需 检测 光 信 号 的 强 弱 ， 而 大 多 数 微波 接收 器 则 要 检测 信号 的 频 
率 或 相位 。 

红外 线 网 络 也 存在 一 些 缺 点 。 室 内 环境 可 能 因 阳 光 或 照明 而 产生 相当 强 的 光线 ， 这 将 成 为 
红外 接收 器 的 噪音 ， 使 得 必须 用 更 高 能 量 的 发 送 器 ， 并 限制 了 通信 范围 。 很 大 的 传输 能 量 会 消 
耗 过 多 的 电能 ， 并 对 眼睛 造成 不 良 影 响 。 

了 通信 分 为 3 种 技术 : 


《1 


定向 红外 光束 。 定 向 红外 光束 可 以 用 于 点 对 点 链 路 。 在 这 种 通信 方式 中 ， 传 输 的 范围 


图 146 若 。 网 络 工程 所 教程 (第 5 版 ) 


取决 于 发 射 的 强度 与 光束 集中 的 程度 。 定 向 光束 天 链 路 可 以 长 达 几 千 米 ， 因 而 可 以 连接 几 座 大 
楼 的 网 络 ， 每 幢 大 楼 的 路 由 器 或 网 桥 在 视 距 范围 内 通过 IR 收发 器 互相 连接 。 点 对 点 食 链 路 的 
室内 应 用 是 建立 令 牌 环 网 ， 各 个 下 收发 器 链接 形成 回路 ， 每 个 收发 器 支持 一 个 终端 或 由 集 线 
器 连接 的 一 组 终端 ， 集 线 器 充当 网 桥 功 能 。 

(2) 全 方向 广播 红外 线 。 全 向 广播 网 络 包含 一 个 基站 ， 典 型 情况 下 基站 置 于 天 花 板 上 ， 它 
看 得 见 LAN 中 的 所 有 终端 。 基 站 上 的 发 射 器 向 各 个 方向 广播 信号 ， 所 有 终端 的 及 收发 器 都 用 
定位 光束 瞄准 天 花 板 上 的 基站 ， 可 以 接收 基站 发 出 的 信号 ， 或 向 基站 发 送信 号 。 

(3) 漫 反 射 红外 线 。 在 这 种 配置 中 ， 所 有 的 发 射 器 都 集中 瞄准 天 花 板 上 的 一 点 。 红 外 线 射 
到 天 花 板 上 后 被 全 方位 地 漫 反 射 回 来 ， 并 被 房间 内 所 有 的 接收 器 接收 。 

漫 反射 WLAN 采用 线性 编码 的 基带 传输 模式 。 基 带 脉冲 调制 技术 一 般 分 为 脉冲 幅度 调制 
(PAMD)、 脉 冲 位 置 调制 (PPM) 和 脉冲 宽度 调制 (PDM)。 顾 名 思 义 ， 在 这 3 种 调制 方式 中 ， 
信息 分 别 包含 在 脉冲 信号 的 幅度 、 位 置 和 持续 时 间 里 。 由 于 无 线 信道 受 距离 的 影响 导致 脉冲 幅 
度 变化 很 大 ， 所 以 很 少 使 用 PAM， 而 PPM 和 了 PDM 则 成 为 较 好 的 候选 技术 。 

图 5-6 所 示 为 PPM 技术 的 一 种 应 用 。 数 据 1 和 0 都 用 3 个 窗 脉 冲 表示 ， 但 是 1 被 编码 在 
位 的 起 始 位 置 , 而 0 被 编码 在 中 间 位 置 。 使 用 罕 脉 冲 有 利于 减少 发 送 的 功率 , 但 是 增加 了 带宽 。 
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图 5-6 PPM 的 应 用 











IEEE 802.11 规定 采用 PPM 技术 作为 漫 反 射 人 R 介质 的 物理 层 标准 ， 使 用 的 波长 为 850 一 
950nm， 数 据 速 率 分 为 1Mbps 和 2Mbps 两 种 。 在 1Mbps 的 方案 中 采用 16 PPM， 即 脉冲 信号 占 
用 16 个 位 置 之 一 ， 一 个 脉冲 信号 表示 4 位 信息 ， 如 图 5-7 (a) 所 示 。802.11 标准 规定 脉冲 宽 
度 为 250ns， 则 16X250=4hs， 可 见 4hs 发 送 4 位 ， 即 数据 速率 为 IMbps。 对 于 2Mbps 的 网 络 ， 
则 规定 用 4 个 位 置 来 表示 两 位 的 信息 ， 如 图 5-7 (b) 所 示 。 


2， 扩 展 频谱 通信 

扩展 频谱 通信 技术 起 源 于 军事 通信 和 网络 , 其 主要 想法 是 将 信号 散布 到 更 宽 的 带宽 上 以 减少 
发 生 阻塞 和 干扰 的 机 会 。 早 期 的 扩 频 方式 是 频率 跳动 扩展 频谱 Frequency-Hopping Spread 
Spectrum, FHSS), 更 新 的 版 本 是 直接 序列 扩展 频谱 (Direct Sequence Spread Spectrum，DSSS )， 
这 两 种 技术 在 IEEE 802.11 定义 的 WLAN 中 都 有 应 用 。 
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一 -一 0000 0000000000000001 

一 0001 0000000000000010 

一 -一 ~ 0010 0000000000000100 
! ! 

一 ”~ 1101 0010000000000000 

— 1110 0100000000000000 

一 1111 1000000000000000 


(a) 1Mbps 的 PPM 编码 


一 -~ 0l 0010 
一 一 10 0100 
一 11 1000 


(b) 2Mbps 的 PPM 编 码 
图 5-7 IEEE 802.11 规定 的 PPM 调制 技术 
图 5-8 表示 了 各 种 扩展 频谱 系统 的 共同 特点 。 输 入 数据 首先 进入 信道 编码 器 ， 产 生 一 个 接 
近 某 中 央 频 谱 的 较 罕 带宽 的 模拟 信号 ， 再 用 一 个 伪 随 机 序列 对 这 个 信号 进行 调制 。 调 制 的 结果 
是 大 大 扩 宽 了 信和 号 的 带宽 ， 即 扩展 了 频谱 。 在 接收 端 ， 使 用 同样 的 伪 随 机 序列 来 恢复 原来 的 信 
号 ， 最 后 再 进入 信道 解码 器 来 恢复 数据 。 
输入 数据 


一 [fi 六 友 叶 | 一 -网 币 关 一 | 信道 | 一 -外 刘 员 一 [信道 朋友 各 ls 


为 随机 模式 产生 器 伪 随 机 模式 产生 器 


图 5-8 扩展 频谱 通信 系统 的 模型 


























伪 随 机 序列 由 一 个 使 用 初 值 ( 称 为 种 子 Seed) 的 算法 产生 。 算 法 是 确定 的 ， 因 此 产生 的 数 
字 序 列 并 不 是 统计 随机 的 。 但 如 果 算 法 设计 得 好 ， 得 到 的 序列 还 是 能 够 通过 各 种 随机 性 测试 ， 
这 就 是 被 叫 作伪 随机 序列 的 原因 。 重 要 的 是 除非 用 户 知道 算法 与 种 子 ， 否 则 预测 序列 是 不 可 能 
的 。 因此， 只 有 与 发 送 器 共享 一 个 伪 随 机 序列 的 接收 器 才能 成 功 地 对 信号 进行 解码 。 

1) 频率 跳动 扩 频 

在 这 种 扩 频 方案 中 ,信号 按照 看 似 随机 的 无 线 电 频谱 发 送 ， 每 一 个 分 组 都 采用 不 同 的 频率 
传输 。 在 所 谓 的 快 跳 频 系统 中 ， 每 一 跳 只 传送 很 短 的 分 组 。 在 军事 上 使 用 的 快 跳 频 系统 中 ， 传 
输 一 位 信息 要 用 到 很 多 位 。 接 收 器 与 发 送 器 同步 跳动 ， 因 而 可 以 正确 地 接收 信息 。 监 听 的 入 侵 
者 只 能 收 到 一 些 无 法 理解 的 信号 ， 干 扰 信 号 也 只 能 破坏 一 部 分 传输 的 信息 。 图 5-9 是 用 跳 频 模 
式 传输 分 组 的 例子 。10 个 分 组 分 别 用 A、f、、、fi、 有 fh、f、fh、h、h 共 9 个 不 同 的 频 点 
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图 5-9 ”频率 跳动 信号 的 例子 


在 定义 无 线 局 域 网 的 IEEE 802.11 标准 中 ， 每 一 跳 的 最 长 时 间 规 定 为 400ms， 分 组 的 最 大 
长 度 为 30ms。 如 果 一 个 分 组 受到 罕 带 干扰 的 破坏 ， 可 以 在 400ms 后 的 下 一 跳 以 不 同 的 频率 重 
新 发 送 。 与 分 组 的 最 大 长 度 相 比 ，400ms 是 一 个 合理 的 延迟 。802.11 标准 还 规定 ，FHSS 使 用 的 
频 点 间隔 为 IMHz， 如 果 一 个 频 点 由 于 信号 衰落 而 传输 出 错 ，400ms 后 以 不 同 频率 重 发 的 数据 
将 会 成 功 地 传送 。 这 就 是 FHSS 通信 方式 抗 干 扰 和 抗 信号 衰落 的 优点 。 

2) 直接 序列 扩 频 

在 这 种 扩 频 方案 中 ,信号 源 中 的 每 一 位 用 称 为 码 片 的 NN 个 位 来 传输 ， 这 个 变换 过 程 在 扩展 
器 中 进行 。 然 后 把 所 有 的 码 片 用 传统 的 数字 调制 器 发 送出 去 。 在 接收 端 ， 收 到 的 码 片 解 调 后 被 
送 到 一 个 相关 器 ， 自 相关 函数 的 尖峰 用 于 检测 发 送 的 位 。 好 的 随机 码 相关 函数 具有 非常 高 的 尖 
峰 / 旁 兴 比 , 如 图 5-10 所 示 。 数 字 系 统 的 带宽 与 其 所 采用 的 脉冲 信号 的 持续 时 间 成 反比 。 在 DSSS 
系统 中 ， 由 于 发 射 的 码 片 只 占 数据 位 的 WN， 所 以 DSSS 信号 的 带宽 是 原来 数据 带宽 的 入 倍 。 





输入 数据 | 
扩展 器 调制 器 解 调 器 | 相关 器 六 一 


















































输出 数据 
数据 位 数据 1 
扩展 位 | 自 相关 函数 
1 | 公 片 蔓 
~ 浮 
LU 
码 片 时 延 





图 5-10 DSSS 的 频谱 扩展 器 和 自 相关 检测 器 
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图 5-11 所 示 的 直接 序列 扩展 频谱 技术 是 将 信息 流 和 伪 随 机 位 流 相 异 或 。 如 果 信 息 位 是 1， 
它 将 把 伪 随 机 码 置 反 后 传输 ， 如果 信 息 位 是 0， 伪 随机 码 不 变 ， 照 原样 传输 。 经 过 异 或 的 码 与 
原来 的 伪 随 机 码 有 相同 的 频谱 ， 所 以 它 比 原来 的 信息 流 有 更 宽 的 带宽 。 在 本 例 中 ， 每 位 输入 数 
据 被 变 成 4 位 信号 位 。 





| 输入 数据 
| 擅 随 机 位 
| 传输 信号 


or_ | 
ouo | 
0110 | 


接收 信号 | oll0 | ollo | oulo | 1ou | lolo | oou | lou [ono | 
伪 随 机 位 | 1001 | oll0 | 1001 | 0100 | 1010 | loo | 1o0 [ono | 
接收 数据 | 1 | |1 | |。 | Jo To | 


图 5-11 直接 序列 扩展 频谱 的 例 
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世界 各 国都 划 出 一 些 无 线 频段 ， 用 于 工业 、 科 学 研究 和 微波 医疗 方面 。 应 用 这 些 频段 无 须 
许可 证 ， 只 要 低 于 一 定 的 发 射 功率 (一 般 为 1W) 即 可 自由 使 用 。 美 国有 3 个 ISM 频段 (902 一 
928MHz、2400 一 2483.3SMHz、5725 一 5850MHz)，2.4GHz 为 各 国共 同 的 ISM 频段 。 频 谱 越 高 ， 
潜在 的 带宽 也 越 大 。 另 外 ， 还 要 考虑 可 能 出 现 的 干扰 。 有 些 设备 (例如 无 强 电 话 、 无 线 麦 克 、 
业余 电台 等 ) 的 工作 频率 为 9000MHz。 还 有 些 设备 运行 在 2.4GHz 上 ， 典 型 的 例子 就 是 微波 炉 ， 
它 使 用 久 了 会 泄露 更 多 的 射线 。 目 前 看 来 ， 在 5.8GHz 频 带 上 还 没有 什么 竞争 。 但 是 频谱 越 高 ， 
设备 的 价格 就 越 贵 。 


3.， 窒 带 微 波 通信 


窄带 微波 (Narrowband Microwave) 是 指使 用 微波 无 线 电 频带 (RF) 进行 数据 传输 ， 其 带 
宽 刚 好 能 容纳 传输 信号 。 以 前 ， 所 有 的 罕 带 微波 无 线 网 产品 都 需要 申请 许可 证 ， 现 在 已 经 出 现 
了 ISM 频带 内 的 罕 带 微波 无 线 网 产品 。 

(1) 申请 许可 证 的 穿 带 RF。 用 于 声音 、 数 据 和 视频 传输 的 微波 无 线 电 频率 需要 通过 许可 
证 进行 协调 ， 以 确保 在 同一 地 理 区 域 中 的 各 个 系统 之 间 不 会 相互 干扰 。 在 美国 ， 由 联邦 通信 委 
员 会 FCC) 来 管理 许可 证 。 每 个 地 理 区 域 的 半径 为 17.5 英里 ， 可 以 容纳 5 个 许可 证 ， 每 个 许 
可 证 覆盖 两 个 频率 。Motorola 公司 在 18GHz 的 范围 内 拥有 600 个 许可 证 , 宪 凑 了 1200 个 频带 。 

(2) 免 许 可 证 的 窄带 RF。1995 年 ，Radio LAN 成 为 第 一 个 引进 免 许 可 证 ISM 窦 带 无 线 网 
的 制造 商 。 这 一 频谱 可 以 用 于 低 功 率 (<0.5W) 的 窄带 传输 。Radio LAN 产品 的 数据 速率 为 
10Mbps， 使 用 5.8GHz 频带 ， 有 效 履 盖 范 围 为 130 一 300 英尺 。 
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Radio LAN 是 一 种 对 等 配置 的 网 络 。Radio LAN 的 产品 按照 位 置 、 干 扰 和 信号 强度 等 参数 
自动 地 选择 一 个 终端 作为 动态 主管 ， 其 作用 类 似 于 有 线 网 中 的 集线器 。 当 情况 变化 时 ， 作 为 动 
态 主管 的 实体 也 会 自动 改变 。 这 个 网 络 还 包括 动态 中 继 功 能 ， 它 允许 每 个 终端 像 转 发 器 一 样 工 
作 ， 使 得 超越 传输 范围 的 终端 也 可 以 进行 数据 传输 。 

5.2.3 IEEE 802.11 体系 结构 


802.11WLAN 的 协议 栈 如 图 5-12 所 示 。MAC 层 分 为 MAC 子 层 和 MAC 管理 子 层 。MAC 
子 层 负责 访问 控制 和 分 组 拆 装 ，MAC 管理 子 层 负责 ESS 漫游 、 电 源 管 理 和 登记 过 程 中 的 关联 
管理 。 物 理 层 分 为 物理 层 会 聚 协议 〈(Physical Layer Convergence Protocol，PLCP)、 物 理 介质 相 
关 (Physical Medium Dependent，PMD ) 子 层 和 PHY 管理 子 层 。PLCP 主要 进行 载波 监听 和 物 
理 层 分 组 的 建立 ， PMD 用 于 传输 信号 的 调制 和 编码 ， 而 PHY 管理 子 层 负责 选择 物理 信道 和 调 
谐 。 另 外 ，IEEE 802.11 还 定义 了 站 管理 功能 ， 用 于 协调 物理 层 和 MAC 层 之 间 的 交互 作用 。 








图 5-12 WLAN 协议 模型 


IEEE 802.11 定义 了 3 种 PLCP 帧 格式 来 对 应 3 种 不 同 的 PMD 子 层 通信 技术 。 

(1) FHSS。 对 应 于 FHSS 通信 的 PLCP 帧 格式 如 图 5-13 所 示 。SYNC 是 0 和 1 的 序列 ， 
共 80 位 作为 同步 信号 。SFD 的 位 模式 为 0000110010111101， 用 作 帧 的 起 始 符 。PLW 代表 帧 长 
度 ， 共 12 位 ， 所 以 帧 最 大 长 度 可 以 达到 4096 字 节 。PSF 是 分 组 信 令 字段 ， 用 来 标识 不 同 的 数 
据 速 率 。 起 始 数据 速率 为 IMbps, 以 0.5 的 步 长 递增 。 PSF=0000 时 代表 数据 速率 为 IMbps, PSF 
为 其 他 数值 时 则 在 起 始 速率 的 基础 上 增加 一 定 倍数 的 步 长 。 例 如 PSF=0010， 则 1Mbps+0.5MbpsX 
2=2Mbps; 若 PSF=1111， 则 1Mbps+0.5MbpsX15=8.5Mbps。16 位 的 CRC 是 为 了 保护 PLCP 头 
部 所 加 的 ， 它 能 纠正 2 位 错 。MPDU 代表 MAC 协议 数据 单元 。 


SYNC (80) SFD (16) | PLW (12) | PSF (4) | CRC (16) | MPDU (<4096 字 节 ) 





图 5-13 用 于 FHSS 方式 的 PLCP 帧 
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在 2.402 一 2.480GHz 之 间 的 ISM 频带 中 分 布 着 78 个 1MHz 的 信道 , PMD 层 可 以 采用 以 下 
3 种 跳 频 模式 之 一 ， 每 种 跳 频 模式 在 26 个 频 点 上 跳跃 : 

(0, 3, 6, 9, 12，15，18，…，60，63，66，69，72，75) 

(ls 机 7; 10, 13; 16; 19, “5 61; .64; 67, 70; 73; 76) 

(2. 5; 8;, Ll, 14; 17; 20, wi 62, 65, 68, 71; 74; 77) 

具体 采用 哪 一 种 跳 频 模式 由 PHY 管理 子 层 决定 。3 种 跳 频 点 可 以 提供 3 个 BSS 在 同一 小 
区 中 共存 。IEEE 802.11 还 规定 ， 跳 跃 速率 为 2.5 跳 / 秒 ， 推 荐 的 发 送 功率 为 100mW。 

(2) DSSS。 图 5-14 所 示 为 采用 DSSS 通信 时 的 帧 格式 ， 与 前 一 种 不 同 的 字段 解释 如 下 : 
SFD 字段 的 位 模式 为 1111001110100000。Signal 字段 表示 数据 速率 ， 步 长 为 100kbps， 比 FHSS 
精确 5 倍 。 例 如 Signal 字段 =00001010 时 ，10X100kbps=1Mbps; Signal 字段 =00010100 时 ， 
20X100kbps=2Mbps; Service 字段 保留 未 用 。Length 字段 指 MPDU 的 长 度 ， 单 位 为 ns。 


图 5-14 用 于 DSSS 方式 的 PLCP 帧 





图 5-15 所 示 为 IEEE 802.11 采用 的 直接 系列 扩 频 信号 ,每 个 数据 位 被 编码 为 11 位 的 Barker 
码 ， 图 中 采用 的 序列 为 [1，1，1，-1，-1，-1，1，-1，-1，1，-1]。 码 片 速率 为 11Mb/s， 占 
用 的 带宽 为 25MHz， 数 据 速 率 为 IMbps 和 2Mbps 时 分 别 采用 差分 二 进 制 相 移 键 控 (DB/SK) 
和 差分 四 相 相 移 键 控 (DQPSK)， 即 一 个 码 元 分 别 代表 1 位 或 2 位 数据 。 


数据 位 





图 5-15 DSSS 的 数据 位 和 扩展 位 


ISM 的 2.4GHz 频段 划分 成 11 个 互相 覆盖 的 信道 ， 其 中 心 频率 间隔 为 SMHz， 如 图 5-16 
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所 示 。 接 入 点 AP 可 根据 干扰 信号 的 分 布 在 5 个 频段 中 选择 一 个 最 有 利 的 频段 。 推 荐 的 发 送 功 


率 为 ImW。 
XX 
VM 


2.412GHz 2.462GHz 













图 5-16 DSSS 的 覆盖 频段 


(3) DFIR。5-17 所 示 为 采用 漫 反射 红外 线 (Diffused 及，DFIR) 时 的 PLCP 帧 格式 。DFIR 
的 SYNC 比 FHSS 和 DSSS 的 都 短 , 因为 采用 光敏 二 极 管 检 测 信号 不 需要 复杂 的 同步 过 程 。 Data 
rate 字段 二 000， 表 示 1Mbps; Data rate 字段 二 001， 表 示 2Mbps。DCLA 是 直流 电 平 调节 字段 ， 
通过 发 送 32 个 时 际 的 脉冲 序列 来 确定 接收 信号 的 电 平 。MPDU 的 长 度 不 超过 2500 字 节 。 


SYNC (57-73) | SFD (4) | Datarate (3) | DCLA (32) | Length (16) | FCS (16) | MPDU 


图 5-17 用 于 DEFIR 方式 的 PLCP 帧 





2. MAC 子 层 


MAC 子 层 的 功能 是 提供 访问 控制 机 制 , 它 定义 了 3 种 访问 控制 机 制 : CSMA/CA 支持 竞争 
访问 ，RTS/CTS 和 点 协调 功能 支持 无 竞争 的 访问 。 

1) CSMA/CA 协议 

CSMA/CA 类 似 于 802.3 的 CSMA/CD 协议 ， 这 种 访问 控制 机 制 叫 作 载波 监听 多 路 访问 / 神 
突 避 免 协议 。 在 无 线 网 中 进行 冲突 检测 是 有 困难 的 。 例 如 两 个 站 由 于 距离 过 大 或 者 中 间 障 碍 物 
的 分 隔 从 而 检测 不 到 冲突 ， 但 是 位 于 它们 之 间 的 第 3 个 站 可 能 会 检测 到 冲突 ， 这 就 是 所 谓 的 隐 
蔽 终端 问题 。 采 用 冲突 避免 的 办 法 可 以 解决 隐蔽 终端 的 问题 。802.11 定义 了 一 个 帧 间隔 (Inter 
Frame Spacing，IFS) 时 间 。 另 外 ， 还 有 一 个 后 退 计 数 器 ， 它 的 初始 值 是 随机 设置 的 ， 递 减 计 
数 直到 0。 基 本 的 操作 过 程 如 下 : 

(1) 如 果 一 个 站 有 数据 要 发 送 并 且 监 听 到 信道 忙 ， 则 产生 一 个 随机 数 设置 自己 的 后 退 计数 
器 并 坚持 监听 。 


第 5 章 无 线 通信 网 全 BD 


(2) 听 到 信道 空闲 后 等 待 正 S 时 间 ， 然 后 开始 计数 。 最 先 计数 完 的 站 开始 发 送 。 

(3) 其 他 站 在 听 到 有 新 的 站 开始 发 送 后 暂停 计数 ， 在 新 的 站 发 送 完成 后 再 等 待 一 个 IFS 时 
间 继 续 计数 ， 直 到 计数 完成 开始 发 送 。 

分 析 这 个 算法 发 现 ， 两 次 FS 之 间 的 间隔 是 各 个 站 竞争 发 送 到 时 间 。 这 个 算法 对 参与 竞争 
的 站 是 公平 的 ， 基 本 上 是 按 先 来 先 服务 的 顺序 获得 发 送 的 机 会 。 

2) 分 布 式 协调 功能 

802.11 MAC 层 定义 的 分 布 式 协调 功能 (Distributed Coordination Function，DCF) 利用 了 
CSMA/CA 协议 ， 在 此 基础 上 又 定义 了 点 协调 功能 (Point Coordination Function，PCF)， 如 图 
5-18 所 示 。DCEF 是 数据 传输 的 基本 方式 ， 作 用 于 信道 竞争 期 。 PCF 工作 于 非 竞争 期 。 两 者 总 是 
交替 出 现 ， 先 由 DCEF 竞争 介质 使 用 权 ， 然 后 进入 非 竞争 期 ， 由 PCF 控制 数据 传输 。 





图 5-18 MAC 层 功 能 模型 


为 了 使 各 种 MAC 操作 互相 配合 ，IEEE 802.11 推荐 使 用 3 种 帧 间隔 (下 S)， 以 使 提供 基于 
优先 级 的 访问 控制 。 

。 DIFS (分 布 式 协调 FS): 最 长 的 IS， 优 先 级 最 低 ， 用 于 异步 帧 竞争 访问 的 时 延 。 

。 了 PIFS (点 协调 IFS): 中 等 长 度 的 IFS， 优 先 级 居中 ， 在 PCF 操作 中 使 用 。 

。 SIFS ( 短 IFS): 最 短 的 IFS， 优 先 级 最 高 ， 用 于 需要 立即 响应 的 操作 。 

DIFS 用 在 前 面 介 绍 的 CSMA/CA 协议 协议 中 , 只 要 MAC 层 有 数据 要 发 送 ， 就 监听 信道 是 
否 空闲。 如 果 信 道 空 闲 ， 等 待 DIFS 时 段 后 开始 发 送 ， 如 果 信道 忙 ， 就 继续 监听 并 采用 前 面 介 
绍 的 后 退 算法 等 待 ， 直 到 可 以 发 送 为 止 。 

IEEE 802.11 还 定义 了 带 有 应 答 帧 (ACK) 的 CSMA/CA。 图 5-19 所 示 为 AP 和 终端 之 间 
使 用 带 有 应 答 帧 的 CSMA/CA 进行 通信 的 例子 。AP 收 到 一 个 数据 帧 后 等 待 SIFS 再 发 送 一 个 应 
答 帧 ACK。 由 于 SIFS 比 DIFS 小 得 多 , 所 以 其 他 终端 在 AP 的 应 答 帧 传送 完成 后 才能 开始 新 的 
竞争 过 程 。 

SIFS 也 用 在 RTS/CTS 机 制 中 ， 如 图 5-20 所 示 。 源 终端 先 发 送 一 个 “请 求 发 送 ” 帧 RTS， 
其 中 包含 源 地 址 、 目 标 地 址 和 准备 发 送 的 数据 帧 的 长 度 。 目 标 终端 收 到 RTS 后 等 待 一 个 SIFS 
时 间 ， 然 后 发 送 “ 人 允许 发 送 ” 帧 CTS。 源 终端 收 到 CTS 后 再 等 待 SIFS 时 间 ， 就 可 以 发 送 数据 
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帧 了 。 目 标 终 端 收 到 数据 帧 后 也 等 待 SIFS， 发 回应 答 帧 。 其 他 终端 发 现 RTS/CTS 后 就 设置 一 
个 网 络 分 配 矢量 (Network Allocation Vector，NAV) 信号 ， 该 信号 的 存在 说 明 信 道 忙 ， 所 有 终 


端 不 得 争 用 信道 。 
数据 帧 
应 答 帧 ACK 
终端 MS AP 


图 5-19 带 有 ACK 的 数据 传输 














图 5-20 RTS/CTS 工作 机 制 


3) 点 协调 功能 

PCF 是 在 DCF 之 上 实现 的 一 个 可 选 功能 。 所 谓 点 协调 就 是 由 AP 集中 轮 询 所 有 终端 , 为 其 
提供 无 竞争 的 服务 ， 这 种 机 制 适用 于 时 间 敏 感 的 操作 。 在 轮 询 过 程 中 使 用 PIFS 作为 帧 间隔 时 
间 。 由 于 PIFS 比 DIFS 小 ， 所 以 点 协调 能 够 优先 CSMA/CA 获得 信道 ， 并 把 所 有 的 异步 帧 都 推 
后 传送 。 

在 极端 情况 下 ， 点 协调 功能 可 以 用 连续 轮 询 的 方式 排除 所 有 的 异步 帧 。 为 了 防止 这 种 情况 
的 发 生 ，802.11 又 定义 了 一 个 称 为 超级 帧 的 时 间 间 隔 。 在 此 时 段 的 开始 部 分 ， 由 点 协调 功能 向 
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所 有 配置 成 轮 询 的 终端 发 出 轮 询 。 随 后 在 超级 帧 余下 的 时 间 人 允许 异步 帧 竞争 信道 。 
3. MAC 管理 


MAC 管理 子 层 的 功能 是 实现 登记 过 程 、ESS 漫游 、 安 全 管理 和 电源 管理 等 功能 。 WLAN 
是 开放 系统 ， 各 站 点 共享 传输 介质 ， 而 且 通 信 站 具有 移动 性 ， 因 此 ， 必 须 解 决 信息 的 同步 、 漫 
游 、 保 密 和 节能 问题 。 

1) 登记 过 程 

信 标 是 一 种 管理 帧 ， 由 AP 定期 发 送 ， 用 于 时 间 同 步 。 信 标 还 用 来 识别 AP 和 网 络 ， 其 中 
包含 基站 人 D、 时 间 蕉 、 睡 眠 模式 和 电源 管理 等 信息 。 

为 了 得 到 WLAN 提供 的 服务 , 终端 在 进入 WLAN 区 域 时 ， 必 须 进 行 同步 搜索 以 定位 AP， 
并 获取 相关 信息 。 同 步 方 式 有 主动 扫描 和 被 动 扫描 两 种 。 所 谓 主动 扫描 就 是 终端 在 预定 的 各 个 
频道 上 连续 扫描 ， 发 射 探 试 请 求 帧 ， 并 等 待 各 个 AP 的 响应 帧 ; 收 到 各 AP 的 响应 帧 后 ， 工 作 
站 将 对 各 个 帧 中 的 相关 部 分 进行 比较 以 确定 最 佳 AP。 

终端 获得 同步 的 另 一 种 方法 是 被 动 扫描 。 如 果 终 端 已 在 BSS 区 域 ， 那 么 它 可 以 收 到 各 个 
AP 周期 性 发 射 的 信 标 帧 ， 因 为 帧 中 含有 同步 信息 ， 所 以 工作 站 在 对 各 帧 进行 比较 后 ， 确 定 最 
佳 AP。 

终端 定位 了 AP 并 获得 了 同步 信息 后 就 开始 了 认证 过 程 ， 认 证 过 程 包括 AP 对 工作 站 身份 
的 确认 和 共享 密 钥 的 认证 等 。 

认证 过 程 结束 后 就 开始 关联 过 程 ， 关 联 过 程 包括 终端 和 AP 交换 信息 ， 在 DS 中 建立 终端 
和 AP 的 映射 关系 ，DS 将 根据 该 映射 关系 来 实现 相同 BSS 及 不 同 BSS 间 的 信息 传送 。 关 联 过 
程 结束 后 ， 工 作 站 就 能 够 得 到 BSS 提供 的 服务 了 。 

2) 移动 方式 

IEEE 802.11 定义 了 3 种 移动 方式 : 无 转移 方式 是 指 终端 是 固定 的 ， 或 者 仅 在 BSA 内 部 移 
动 ; BSS 转移 是 指 终端 在 同一 个 ESS 内 部 的 多 个 BSS 之 间 移 动 ，ESS 转移 是 指 从 一 个 ESS 移 
动 到 另 一 个 ESS。 

当 终 端 开始 漫游 并 逐渐 远离 AP 时 ， 它 对 AP 的 接收 信号 将 变 坏 ， 这 时 终端 启动 扫描 功能 
重新 定位 AP， 一 旦 定位 了 新 的 AP， 工 作 站 随即 向 新 AP 发 送 重新 连接 请 求 ， 新 AP 将 该 终端 
的 重新 连接 请 求 通知 分 布 式 系统 (DS)，DS 随即 更 改 该 工作 站 与 AP 的 映射 关系 ， 并 通知 原来 
的 AP 不 再 与 该 工作 站 关联 。 然 后 ， 新 AP 向 该 终端 发 射 重 新 连接 响应 。 至 此 ， 完 成 漫游 过 程 。 
如 果 工 作 站 没有 收 到 重新 连接 响应 ， 它 将 重启 扫描 功能 ， 定 位 其 他 AP， 重 复 上 述 过 程 ， 直 到 
连接 上 新 的 AP。 

3) 安全 管理 

无 线 传输 介质 使 得 所 有 符合 协议 要 求 的 无 线 系统 均 可 在 信号 覆 盖 范 围 内 收 到 传输 中 的 数 
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据 包 ， 为 了 达到 和 有 线 网 络 同等 的 安全 性 能 ，IEEE 802.11 采取 了 认证 和 加 密 措施 。 

认证 程序 控制 WLAN 接 入 的 能 力 ， 这 一 过 程 被 所 有 无 线 终端 用 来 建立 合法 的 身份 标志 ， 
如 果 AP 和 工作 站 之 间 无 法 完成 相互 认证 ， 那 么 它们 就 不 能 建立 有 效 的 连接 。IEEE 802.11 协议 
支持 多 个 不 同 的 认证 过 程 ， 并 且 允 许 对 认证 方案 进行 扩充 。 

IEEE 802.11 提供 了 有 线 等 效 保密 (Wired Equivalent Privacy，WEP) 技术 ， 又 称 无 线 加 密 
协议 (Wireless Encryption Protocol)。WEP 包括 共享 密 钥 认证 和 数据 加 密 两 个 过 程 ， 前 者 使 得 
没有 正确 密 钥 的 用 户 无 法 访问 网 络 ， 后 者 则 要 求 所 有 数据 都 必须 用 密 文 传输 。 

认证 过 程 采用 了 标准 的 询问 /响应 方式 ，AP 运用 共享 密 钥 对 128 字 节 的 随机 序列 进行 加 密 
后 作为 询问 帧 发 给 用 户 ， 用 户 将 收 到 的 询问 帧 解密 后 以 明文 形式 响应 ，AP 将 收 到 的 明文 与 原 
始 随机 序列 进行 比较 ， 如 果 两 者 一 致 ， 则 认证 通过 。 有 关 WLAN 的 安全 问题 ， 将 在 下 面 进 一 

4) 电源 管理 

IEEE 802.11 允许 空闲 站 处 于 睡眠 状态 ， 在 同步 时 钟 的 控制 下 周期 性 地 唤醒 处 于 睡眠 态 的 
空闲 站 ， 由 AP 发 送 的 信 标 帧 中 的 TIM (业务 指示 表 ) 指示 是 否 有 数据 暂 存 于 AP， 若 有 ， 则 向 
AP 发 探 询 帧 ， 并 从 AP 接收 数据 ， 然 后 进入 睡眠 态 ， 若 无 ， 则 立即 进入 睡眠 态 。 

5.2.4 移动 Ad Hoc 网 络 

IEEE 802.11 标准 定义 的 Ad Hoc 网 络 是 由 无 线 移动 节点 组 成 的 对 等 网 , 无 须 网 络 基础 设施 
的 支持 , 能够 根据 通信 环境 的 变化 实现 动态 重 构 , 提供 基于 多 跳 无 线 连接 的 分 组 数据 传输 服务 。 


在 这 种 网 络 中 ， 每 一 个 节点 既是 主机 ， 又 是 路 由 器 ， 它 们 之 间 相 互 转发 分 组 ， 形 成 一 种 自 组 织 
的 MANET (Mobile Ad Hoc Network) 网 络 ， 如 图 5-21 所 示 。 


是 
| 


Ws 
i 
八 玉 填 、 , 
图 5-21 MANET 网 络 
Ad Hoc 是 拉丁 语 ， 具 有 “即兴 ， 临 时 ”的 意思 。MANET 网 络 的 部 署 非常 便捷 和 灵活 ， 因 
而 在 战场 网 络 、 传 感 器 网 络 、 灾 难 现场 和 车 辆 通信 等 方面 有 着 广泛 的 应 用 。 但 是 由 于 无 线 移动 
通信 的 特殊 性 ， 这 种 网 络 协议 的 研发 具有 巨大 的 挑战 性 。 
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与 传统 的 有 线 网 络 相 比 ，MANET 有 以 下 特点 : 
。 ”网 络 拓扑 结构 是 动态 变化 的 ， 由 于 无 线 终端 的 频繁 移动 ， 可 能 导致 节点 之 间 的 相互 位 
置 和 连接 关系 难以 维持 稳定 。 
。 无线 信道 提供 的 带宽 较 小 ， 而 信号 衰落 和 噪声 干扰 的 影响 却 很 大 。 由 于 各 个 终端 信号 
盖 范 围 的 差别 ， 或 者 地 形 地 物 的 影响 ， 还 可 能 存在 单 向 信道 。 
。 无线 终端 携带 的 电源 能 量 有 限 ， 应 采用 最 节能 的 工作 方式 ， 因 而 要 尽量 减 小 网 络 通信 
销 ， 并 根据 通信 距离 的 变化 随时 调整 发 射 功率 。 
es 由 于 无 线 链 路 的 开放 性 ， 容 易 招致 网 络 窍 听 、 欺 骗 、 拒 绝 服务 等 恶意 攻击 的 威胁 ， 所 
以 需要 特别 的 安全 防护 措施 。 
无 线 移动 自 组 织 网 络 中 还 有 一 种 特殊 的 现象 ， 这 就 是 隐蔽 终端 和 暴露 终端 问题 。 如 图 5-22 
所 示 ， 如 果 节 点 A 向 节点 B 发 送 数据 ， 则 由 于 节点 C 检测 不 到 A 发 出 的 载波 信号 ， 它 若 试图 
发 送 ， 就 可 能 干扰 节点 B 的 接收 。 所 以 对 A 来 说 ，C 是 隐蔽 终端 。 另 一 方面 ， 如 果 节 点 B 要 
向 节点 A 发 送 数据 ， 它 检测 到 节点 C 正在 发 送 ， 就 可 能 暂缓 发 送 过 程 。 但 实际 上 C 发 出 的 载 
波 不 会 影响 A 的 接收 ,在 这 种 情况 下 ， 节 点 C 就 是 暴露 终端 。 这 些 问题 不 仅 会 影响 数据 链 路 层 
的 工作 状态 ， 也 会 对 路 由 信息 的 及 时 交换 以 及 网 络 重 构 过 程 造成 不 利 的 影响 。 


So 

















a 
图 5-22 ”隐蔽 终端 和 暴露 终端 


路 由 算法 是 MANET 网 络 中 重要 的 组 成 部 分 ， 由 于 上 述 特殊 性 ， 传 统 有 线 网 络 的 路 由 协议 
不 能 直接 应 用 于 MANET。IETF 于 1997 年 成 立 了 MANET 工作 组 ， 其 主要 工作 是 开发 和 改进 
MANET 路 由 规范 ， 使 其 能 够 支持 包含 上 百 个 路 由 器 的 自 组 织 网 络 ， 并 在 此 基础 上 开发 支持 其 
他 功能 的 路 由 协议 ， 例 如 支持 节能 、 安 全 、 组 播 、QoS 和 IPv6 的 路 由 协议 。MANET 工作 组 也 
负责 对 相关 的 协议 和 安全 产品 进行 实际 测试 。 

1. MANET 中 的 路 由 协议 














目前 , 已 经 提出 了 各 种 MANET 路 由 协议 , 用 户 可 以 根据 采用 的 路 由 策略 和 适应 的 网 络 结 
构 对 其 进行 分 类 。 根 据 路 由 策略 可 分 为 表 驱 动 的 路 由 协议 和 源 路 由 协议 ;根据 网 络 结构 可 以 划 
分 为 扁平 的 路 由 协议 、 分 层 的 路 由 协议 和 基于 地 理 信 息 的 路 由 协议 。 表 驱动 路 由 和 源 路 由 都 是 
扁平 的 路 由 协议 。 
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1) 扁平 的 路 由 协议 

这 一 类 路 由 协议 的 特点 是 参与 路 由 过 程 的 各 个 节点 所 起 的 作用 都 相同 。 根 据 设 计 原理 ， 扁 
平 的 路 由 协议 还 可 进一步 划分 为 先 验 式 〈 表 驱动 ) 路 由 和 反应 式 〈 按 需 分 配 ) 路由， 前 者 大 部 
分 是 基于 链 路 状态 算法 的 ， 而 后 者 主要 是 基于 距离 矢量 算法 的 。 

(1) 先 验 式 / 表 了 驱动 路 由 。 先 验 式 (Proactive) 路 由 是 表 驱 动 型 协议 ， 通 过 周期 地 交换 路 由 
信息 ， 每 个 节点 可 以 保存 完整 的 网 络 拓扑 结构 图 ， 因 而 可 以 主动 确定 网 络 布局 。 当 节点 需要 传 
输 数据 时 ， 这 种 协议 可 以 很 快 地 找到 路 由 方向 ， 适 合 于 时 间 关 键 的 应 用 。 这 种 协议 的 缺点 是 ， 
由 于 节点 的 移动 性 ， 路 由 表 中 的 链 路 信息 很 快 就 会 过 时 ， 链 路 的 生命 周期 非常 短 ， 因 而 路 由 开 
销 较 大 。 

先 验 式 路 由 协议 适合 于 节点 移动 性 较 小 ， 而 数据 传输 频繁 的 网 络 。 

(2) 反应 式 / 按 需 分 配 路 由 。 按 需 分 配 的 路 由 协议 提供 了 可 伸缩 的 路 由 解决 方案 。 其 主要 思 
想 是 ， 移 动 节点 只 是 在 需要 通信 时 才 发 送 路 由 请 求 分 组 ， 以 此 来 减少 路 由 开销 。 大 多 数 按 需 分 
配 的 路 由 协议 都 有 一 个 路 由 发 现 过 程 ， 这 时 需要 把 路 由 发 现 请 求 洪 泛 到 整个 网 络 中 去 ， 以 发 现 
到 达 目 标的 最 佳 路 由 ， 所 以 可 能 会 引起 一 定 的 通信 延迟 。 

2) 分 层 的 路 由 协议 

在 实际 应 用 中 出 现 了 越 来 越 大 的 Ad Hoc 网 络 。 有 研究 显示 ， 在 战场 网 络 和 灾难 现场 应 用 
中 ,通信 节点 数 可 能 超过 100 个 ， 同 时 发 送 的 源 节点 数 可 能 超过 40 个 ， 源 和 目标 节点 之 间 的 跳 
步 数 可 能 超过 10 个 。 当 网 络 规模 扩大 时 ， 扁 平 路 由 协议 产生 的 路 由 开销 迅速 增 大 ， 先 验 式 路 由 
会 由 于 周期 性 交换 路 链 路 状态 信息 而 消耗 太 多 的 带宽 ， 即 使 反应 式 路 由 ， 也 会 由 于 越 来 越 长 的 
数据 通路 需要 频繁 维护 而 产生 过 多 的 控制 开销 。 在 这 种 情况 下 ， 采 用 分 层 的 方案 是 一 种 较 好 的 
选择 。 例 如 ， 集 群 头 网 关 交 换 路 由 协议 (Clusterhead Gateway Switch Routing Protocol，CGSR) 
把 移动 节点 聚集 成 不 同 的 集群 (Cluster)， 每 一 个 集群 选 出 一 个 群集 头 。 传 送 数据 的 节点 只 与 所 
在 的 集群 头 通信 ， 处 于 不 同 集群 之 间 的 网 关节 点 负责 群集 头 之 间 的 数据 交换 。 这 个 协议 利用 了 
类 似 于 DSDYV 的 距离 矢量 算法 来 交换 路 由 信息 。 

3) 地 理 信息 路 由 协议 

如 果 参 照 GPS 或 其 他 固定 坐标 系统 来 确定 移动 节点 的 地 理 位置 ， 则 可 以 利用 地 理 坐 标 信 
息 来 设计 Ad Hoc 路 由 协议 ， 这 使 得 搜索 目标 节点 的 过 程 更 加 直接 和 有 效 。 这 种 协议 要 求 所 有 
的 节点 都 必须 及 时 地 访问 地 理 坐 标 系统 。 例 如 ， 地 理 寻 址 路 由 协议 〈Geographic Addressing and 
Routing,GeoCast) 由 3 种 部 件 构 成 :地 理 路 由 器 、 地 理 节点 和 地 理 主机 。 地 理 路 由 器 (GeoRouters) 
能 够 自动 检测 网 络 接口 的 类 型 ， 可 以 手工 配置 成 分 层 的 网 络 路 由 ， 其 作用 是 服务 于 它 所 管理 的 
多 边 形 区 域 ， 负 责 把 地 理 报 文 从 发 送 器 传送 到 接收 器 。 在 每 一 个 子 网 中 至 少 要 有 一 个 地 理 节 点 
(GeoNodes)， 其 作用 是 暂时 存储 进入 的 地 理 信息 ， 并 在 预订 的 生命 周期 内 将 其 组 播 到 所 在 的 子 
网 中 。 每 一 个 移动 节点 中 都 有 一 个 称 为 地 理 主机 (GeoHosts〉 的 守护 进程 ， 其 作用 是 把 地 理 信 
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息 的 可 用 性 通知 给 所 有 的 客户 进程 。 主 机 利用 这 些 地 理 信 息 进行 数据 传输 。 
2. DSDV 协议 


目标 排序 的 距离 矢量 协议 (Destination-Sequenced Distance Vector，DSDV) 是 一 种 扁平 式 
路 由 协议 。 这 是 由 传统 的 Bellman-Ford 算法 改进 的 距离 矢量 协议 ， 利 用 序列 号 机 制 解决 了 路 由 
环 路 问题 。DSDV 协议 是 由 Perkins 和 了 Bhagwat 于 1994 年 提出 的 一 种 基于 Bellman-Ford 算法 
的 表 驱 动 路 由 方案 ， 对 后 来 的 协议 设计 有 很 大 影响 。DSDYV 的 路 由 表 如 图 5-23 所 示 ， 表 项 中 包 
含 的 各 个 字段 的 解释 如 下 。 

。 Destination: 目标 节点 的 下 地 址 。 

。 Next Hop: 转发 地 址 。 

。 ”Hops/Metric: 度量 值 通常 以 跳 步 计数 。 

。 ”Sequnce Number: 序列 号 的 形式 为 “主机 名 _NNN”， 每 个 节点 维护 自己 的 序列 号 ， 从 

000 开始 ， 当 节点 发 送 新 的 路 由 公告 时 对 其 序列 号 加 2， 所 以 序列 号 通常 是 偶数 。 路 由 
表 中 的 序列 号 字段 是 由 目标 节点 发 送 而 来 的 ， 并 且 只 能 由 目标 节点 改变 ， 唯 一 的 例外 
情况 是 ， 本 地 节点 发 现 一 条 路 由 失效 时 将 目标 节点 的 序列 号 加 1， 使 其 成 为 奇数 。 

。 Install Time: 表示 路 由 表 项 创建 的 时 间 ， 用 于 删除 过 期 表 项 。 每 一 个 路 由 表 项 都 有 对 

应 的 生存 时 间 ， 如 果 在 生存 时 间 内 未 被 更 新 过 ， 则 该 表 项 会 被 自动 删除 。 
。 ”Stable Data: 指向 一 个 包含 路 由 稳定 信息 的 列表 , 该 表 由 目标 地 址 、 最 近 定制 时 间 (Last 
Setting Time〉 和 平均 定制 时 间 (Average Setting Time) 3 个 字段 组 成 。 

















目标 地 址 | 下 一 跳 地 址 | 。 跳 步 数 序列 号 安装 时 间 _| 稳定 数据 





图 5-23 DSDYV 路 由 表 项 


DSDYV 节点 周期 性 地 广播 路 由 公告 , 但 是 在 出 现 新 链 路 或 者 老 链 路 断 开 时 立即 触发 链 路 公 
告 。 链 路 公告 有 两 种 形式 ， 一 种 是 广播 全 部 路 由 表 项 ， 称 为 完全 更 新 ， 这 种 方法 需要 多 个 分 组 
来 传送 路 由 信息 ， 开 销 比 较 大 ， 另 一 种 是 只 发 送 最 近 改 变 了 的 路 由 表 项 ， 叫 作 递增 式 更 新 ， 这 
种 方法 可 以 把 路 由 信息 包含 在 一 个 分 组 中 发 送 ， 产 生 的 开销 比较 小 。 

当 一 个 节点 接收 到 邻居 节点 发 送 的 路 由 公告 时 ， 根 据 下 列 规则 进行 路 由 更 新 : 对 应 于 某 个 
目标 的 路 由 表 项 ， 如 果 收 到 的 序列 号 比 路 由 表 中 已 有 的 序列 号 更 大 ， 则 更 新 现 有 的 路 由 表 项 ; 
如 果 收 到 的 序列 号 和 现 有 的 序列 号 相同 ， 但 度量 值 更 小 ， 也 要 更 新 现 有 的 路 由 表 项 ;否则 放弃 
收 到 的 路 由 更 新 公告 ， 维 持 现 有 的 路 由 表 项 不 变 。 
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这 种 机 制 可 以 排除 路 由 环 路 现象 。 这 是 因为 如 果 以 目标 节点 为 根 ， 建 立 一 棵 到 达 各 个 源 节 
点 的 最 小 生成 树 , 由 于 序列 号 是 由 目标 节点 改变 并 发 出 的 , 当 序 列 号 沿 着 各 个 树枝 向 下 传播 时 ， 
上 游 节点 中 的 序列 号 总 是 不 小 于 当前 节点 中 的 序列 号 ， 而 下 游 节点 中 的 序列 号 总 是 不 大 于 当前 
节点 中 的 序列 号 。 

DSDV 要 解决 的 另外 一 个 问题 是 路 由 波动 问题 。 如 图 5-24 所 示 ， 假 设 节点 A 先 收 到 了 从 
邻居 节点 B 发 来 的 路 由 更 新 报 文 <D 5 D_100>， 其 含义 是 B 到 达 DD 的 距离 是 5,，D 的 序列 号 是 
100， 则 和 A 更 新 了 它 的 路 由 表 项 ， 并 且 立 即 发 布 了 路 由 更 新 公告 。 但 很 快 A 又 收 到 了 从 邻居 节 
点 C 发 来 的 路 由 更 新 报 文 <D 4D_100>， 其 中 的 序列 号 相同 ， 但 距离 更 小 ， 所 以 A 又 要 更 新 路 
由 表 项 ， 并 且 又 要 发 布 路 由 更 新 公告 。 当 许多 节点 毫 无 规律 地 发 布 路 由 更 新 公告 时 ， 这 种 波动 
现象 就 会 出 现 ， 产 生 了 很 大 的 路 由 开销 。 








图 5-24 ”路 由 波动 的 例子 


为 了 解决 这 个 问题 ，DSDYV 采用 平均 定制 时 间 (Average Setting Time，AST) 来 决定 发 布 
路 由 公告 的 时 间 间 隔 , AST 表示 对 应 目标 节点 更 新 路 由 的 平均 时 间 间 隔 , 而 最 近 定 制 时 间 (Last 
Setting Time，LST) 则 是 最 近 一 次 更 新 路 由 的 时 间 间 隔 。 第 z 次 的 平均 定制 时 间 是 最 近 定 制 时 
间 与 前 n-1 次 的 平均 定制 时 间 的 加 权 平 均值 ， 即 
AST = 2LST “ AST ， 

显然 ， 越 是 最 近 的 定制 时 间 对 平均 定制 时 间 的 贡献 越 大 。 为 了 减少 路 由 波动 ， 节 点 可 以 等 
待 两 倍 的 AST, 时 间 再 发 送 路 由 公告 。 

下 面 举例 说 明 DSDYV 协议 的 操作 情况 。 假设 有 如 图 5-25 所 示 的 网 络 , 3 个 移动 节点 建立 了 
无 线 连 接 ， 则 各 个 节点 的 路 由 表 如 该 图 所 示 。 

如 果 节点 B 修改 了 它 的 序列 号 ， 并 发 送 路 由 公告 ， 则 节点 A 和 C 中 相应 的 路 由 表 项 就 要 
修改 ， 如 图 5-26 所 示 。 
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目标 | 下 一 跳 | 诬 最 值 | 序列 号 目标 | 下 一 跳 | 座 量 值 | 新 列 号 下 一 跳 | 度 景 值 ] 序列 号 
A A 0 |a4s0 A | 1 |A450 B | 2 |A450 
B B 1 |Bio0 B B | 0 |Bio0 B | 1 | B100 
© 2 | css> ce 1 | css C 


























图 5-25 网 络 拓扑 和 路 由 表 




































































ATA_450 AI1A_450 
BoB_102 BoB_102 
CT1C_552 C1C_552 
A 下 B -~ C 
目标 | 下 一 跳 | 虚 量 值 | 序列 号 目标 | 下 一 跳 | 度量 值 | 序列 号 目标 | 下 一 跳 | 度量 值 | 序列 号 
A A 0 |A450 A A 1 | As4so A B 2 | A4s0 
B B 1 | Blo B B 0 | eloz B B 1 | Bl02 
C B 2 |css2 © C 1 | css C c 0 | cass 





















































图 5-26 序列 号 的 更 新 


如 果 网 络 中 出 现 了 新 的 移动 节点 D， 则 DD 广播 它 的 序列 号 ， 节 点 C 就 要 更 新 它 的 路 由 表 ， 
如 图 5-27 所 示 。 
























































2 C 收 到 D 广 播 的 
人 妆 饭 
的 路 由 表 
A B C 
Er CT EE EECOEE em [wlan ls] 
A | | [es A |] | [a A | | [a 
[|r| [em ss | ss |. [ew ns | | [ew 
ci ol: [es cl el [es ci el les 
5 | 5 | pm 














5-27 新 节点 出 现 
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然后 ， 节 点 C 发 布 路 由 公告 ， 节 点 B 都 修改 了 它们 的 路 由 表 ， 如 图 5-28 所 示 。 
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图 5-28 周期 性 发 布 路 由 更 新 公告 


如 果 节 点 D 移出 连 C 的 覆盖 范围 ， 则 C 和 了 D 之 间 的 无 线 连接 就 断 开 了 ，C 一 旦 检测 到 这 
种 情况 ， 立 即 触发 了 路 由 更 新 过 程 ， 如 图 5-29 所 示 。 















































4 触发 才 增 更 煌 3. 般 发 间 增 更 新 
潮 一 一 基 
目标 | 下 一 片 | 度 熏 值 | 序列 时 目标 | 下 一 跳 | 压 生 值 | 序列 号 目标 | 下 一 跳 | 历 熏 值 | 序列 号 目标 | 下 一 上 | 府 量 值 | 序列 号 
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B B 1 [Bo B B 0 [Bi0 B B 1 [Blo B a 2 | B_iom 
b 2 |esse 四 ec 1 | css 6 下 0 [ess e 1 | es 
D B D_ool D c Dol D D ”| po D D 0 | poo 





























2 将 对 应 的 序列 号 加 一 ， 
使 其 成 为 厅 数 


图 5-29 连接 断 时 触发 路 由 更 新 
3. AODYV 协议 


按 需 分 配 的 距离 矢量 协议 (Ad hoc On-Demand Distance Vector，AODV) 也 是 一 种 扁平 式 
路 由 协议 , 但 是 采用 了 反应 式 路 由 策略 。 这 是 一 种 距离 矢量 协议 ,利用 类 似 于 DSDYV 的 序列 号 
机 制 解决 了 路 由 环 路 问题 , 但 它 只 是 在 需要 传送 信息 时 才 发 送 路 由 请 求 , 从 而 减少 了 路 由 开销 。 
AODYV 适合 于 快速 变化 的 Ad Hoc 网 络 环境 , 用 于 路 由 信息 交换 的 处 理 时 间 和 存储 器 开销 较 小 。 
RFC 3561 (2003) 定义 了 AODYV 的 协议 规范 。 
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AODYV 采用 了 类 似 于 DSDV 的 序列 号 机 制 ， 用 于 排除 一 般 距 离 矢量 协议 可 能 引起 的 路 由 
环 路 问题 。AODYV 的 路 由 表 项 由 下 列 字段 组 成 : 
。 目标 四 地 址 ; 
目标 子 网 掩 码 ; 
目标 序列 号 ; 
下 一 跳 他 地址 ; 
路 由 表 项 的 生命 周期 ; 
度量 值 / 跳 步 数 ; 
网 络 接口 ; 
其 他 的 状态 和 路 由 标志 。 
AODYV 是 一 种 按 需 分 配 的 路 由 协议 , 当 一 个 节点 需要 发 现 到 达 某 个 目标 节点 的 路 由 时 就 广 
播 路 由 请 求 (Route Request，RREQ) 报 文 ， 这 种 报 文 的 格式 如 图 5-30 所 示 。 


类 型 [RiGpp 保留 | 跳 步 数 


RREQ ID 
目标 IP 地 址 
目标 序列 号 
源 IP 地 址 
源 序 列 号 





























类 型 置 为 1， 表 示 RREQ 

了 Join 标志 ， 用 于 组 播 

R Repair 标志 ， 用 于 组 播 

G Gratuitous 标志 ， 带 有 G 标志 的 报 文 必须 转发 到 目标 节点 
D Destination-only 标志 ， 只 有 目标 才能 响应 这 种 请 求 

U Unknown sequence number 标志 ， 表 明 目 标 序列 号 未 知 
跳 步 数 从 原 发 方 到 处 理 该 请 求 的 节点 的 跳 步 数 

RREQ ID 用 于 标识 该 报 文 的 唯一 序列 号 

目标 他 地 址 。 需要 发 现 路 由 的 目标 地 址 

目标 序列 号 最 近 曾 经 接收 到 的 目标 序列 号 

源 耳 地 址 原 发 方 的 耳 地 址 

源 序列 号 原 发 方 的 序列 号 


图 5-30 RREQ 报 文 


当 一 个 节点 接收 到 RREQ 请 求 时 ， 如 果 它 就 是 请 求 的 目标 ， 或 者 知道 到 达 目 标的 路 由 并 且 
其 中 的 目标 序列 号 大 于 RREQ 中 的 目标 序列 号 , 则 要 响应 这 个 请 求 ,向 发 送 RREQ 的 节点 返回 
( 单 播 ) 一 个 路 由 应 答 (Route Reply，RREP) 报 文 。 如 果 收 到 RREQ 报 文 的 节点 不 知道 该 目标 
的 路 由 ， 则 它 要 重新 广播 RREQ 请 求 ， 并 且 记 录 发 送 RREQ 报 文 的 节点 地 址 及 其 广播 序列 
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号 (RREQ ID)。 如果 收 到 的 RREQ 报 文 已 经 被 处 理 过 了 , 则 丢弃 该 报 文 , 不 再 进行 转发 。 RREP 












































的 格式 如 图 5-31 所 示 。 
类 型 RIA| 保留 前 组 长 度 跳 步 数 

RREQ ID 
目标 IP 地 十 
目标 序列 号 
源 IP 地 址 
生命 周期 

类 型 置 为 2， 表 示 RREP 

R Repair 标志 ， 用 于 组 播 

A Ack 标志 ， 表 明 该 报 文 需要 确认 

前 缀 长 度 如 果 非 0， 这 5 位 定义 了 一 个 地 址 前 级 的 长 度 

跳 步 数 从 原 发 方 到 目标 节点 的 跳 步 数 


目标 耳 地 址 需要 发 现 路 由 的 目标 地 址 
目标 序列 号 最 近 接 收 到 的 目标 序列 号 
源 他 地 址 原 发 方 的 下 地址 

生命 周期 以 微 秒 计数 的 生命 周期 


图 5-31 RREP 报 文 


当 RREP 报 文中 的 前 级 长 度 非 0 时 ， 这 5 位 定义 了 一 个 地 址 前 缀 的 长 度 ， 该 地 址 前 绥 与 目 
标 正 地 址 共同 确定 了 一 个 子 网 。 作 为 子 网 路 由 器 , 发 送 RREP 报 文 的 节点 必须 保存 有 关 该 子 网 
的 全 部 路 由 信息 , 而 不 仅 是 单个 目标 节点 的 路 由 信息 。 如 果 传送 RREP 报 文 的 链 路 是 不 可 靠 的 ， 
或 者 是 单 向 链 路 ， 则 RREP 中 的 A 标志 置 1， 这 种 报 文 的 接收 者 必须 返回 一 个 应 答 报 文 
RREP-ACK。 

如 果 监 控 下 一 跳 链 路 状态 的 节点 发 现 链 路 中 断 ， 则 设置 该 路 由 为 无 效 ， 并 发 出 路 由 错误 
(Route Emror，RERR) 报 文 ， 通 知 其 他 节点 这 个 目标 已 经 不 可 到 达 了 。 收 到 RERR 报 文 的 源 节 
点 如 果 还 要 继续 通信 ， 则 需 重 新 发 现 路 由 。RERR 报 文 的 格式 如 图 5-32 所 示 。 


类 型 ”和 | 保留 不 可 到 达 的 目标 数 
不 可 到 达 的 目标 IP 地 址 (1) 
不 可 到 达 的 日 标 序列 号 0 
另外 的 不 可 到 达 的 目标 IP 地 址 
另外 的 不 可 到 达 的 目标 序列 号 




















类 型 置 为 3， 表 示 RERR 
N 非 删除 标志 ， 通 知 上 游 节点 不 得 删除 该 路 由 ， 等 待 修复 


5-32 RERR 报 文 
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AODYV 协议 也 适用 于 组 播 网 络 。 当 一 个 节点 希望 加 入 组 播 组 时 ， 它 就 发 送 标志 置 1 的 
RREQ 请 求 ， 其 中 的 目标 正 地 址 设置 为 组 地 址 。 接 收 到 这 种 请 求 的 节点 如 果 是 组 播 树 成 员 ， 并 
且 保 存 的 目标 序列 号 比 RREQ 中 的 目标 序列 号 更 大 ， 则 要 回答 一 个 RREP 分 组 。 在 RREP 返回 
源 节点 的 过 程 中 ， 转 发 该 报 文 的 节点 要 设置 它们 组 播 路 由 表 中 的 指针 。 当 源 节点 收 到 RREP 报 
文 时 ， 它 就 选取 序列 号 更 大 并 且 跳 步 数 更 小 的 路 由 。 在 路 由 发 现 过 程 结 束 后 ， 源 节点 向 其 选择 
的 下 一 跳 节 点 单 播 一 个 组 播 活动 (Multicast Activation，MACT) 报 文 ， 其 作用 是 激活 选择 的 组 
播 路 由 。 没 有 收 到 MACT 报 文 的 节点 则 删除 组 播 路 由 指针 。 如 果 一 个 还 不 是 组 播 树 成 员 的 节点 
收 到 了 MACT 报 文 ， 也 要 跟踪 RREP 报告 的 最 佳 路 由 ， 并 且 向 它 的 下 一 跳 节 点 单 播 MACT， 
直到 连接 到 了 一 个 组 播 树 的 成 员 节点 为 止 。 


5.2.5 IEEE 802.11 的 新 进展 


无 线 局 域 网 面临 着 两 个 主要 问题 ， 一 是 增强 安全 性 ， 二 是 提高 数据 速率 ， 前 者 对 无 线 网 比 
有 线 网 更 加 重要 ， 也 更 难以 解决 。 近 年 来 在 这 些 方面 的 研发 都 有 了 新 的 进展 。 


1. WLAN 的 安全 


在 无 线 局 域 网 中 可 以 采用 下 列 安全 措施 。 

1) SSID 访问 控制 

在 无 线 局 域 网 中 ， 可 以 对 各 个 无 线 接 入 点 (AP) 设置 不 同 的 SSID (Service Set Identifier )， 
这 是 最 多 由 32 个 字符 组 成 的 字符 串 。 一 般 的 无 线路 由 器 都 提供 “允许 SSID 广播 ”功能 ， 被 广 
播 出 去 的 SSID 会 出 现在 用 户 搜 索 到 的 可 用 网 络 列表 中 。 值 得 注意 的 是 ， 同 一 厂商 生产 的 无 线 
路 由 器 (或 AP) 都 使 用 了 相同 的 SSID， 为 了 保护 自己 的 网 络 不 被 非法 接 入 ， 应 修改 成 个 性 化 
的 SSID 名 字 。 当 然 ， 也 可 以 禁用 SSID 广播 ， 这 样 ， 无 线 网 络 仍然 可 以 使 用 ， 但 是 不 会 出 现在 
其 他 人 搜索 到 的 可 用 网 络 列表 中 。 

2) 物理 地 址 过 滤 

另外 一 种 访问 控制 方法 是 MAC 地 址 过 滤 。 每 个 无 线 网 卡 都 有 唯一 的 MAC 地 址 ， 可 以 在 
无 线路 由 器 中 维护 一 组 允许 访问 的 MAC 地 址 列表 ， 用 于 实现 物理 地 址 过 滤 功 能 。 这 个 方案 要 
求 无 线路 由 器 中 的 MAC 地 址 列表 必须 经 常 更 新 , 用 户 数量 多 时 维护 工作 量 很 大 。 更 重要 的 是 ， 
MAC 地 址 可 以 伪造 ， 所 以 这 是 级 别 比较 低 的 认证 功能 。 

3) 有 线 等 效 保密 

有 线 等 效 保密 (Wired Equivalent Privacy，WEP) 是 IEEE 802.11 标 准 的 一 部 分 ， 其 设计 目 
的 是 提供 与 有 线 局 域 网 等 价 的 机 密 性 。WEP 使 用 RC4 协 议 进行 加 密 ， 并 使 用 CRC-32 校 验 保证 
数据 的 正确 性 。 

RC4 是 一 种 流 加 密 技 术 ， 其 加 密 过 程 是 对 同样 长 度 的 密 钥 流 与 报 文 进行 “ 异 或 ”运算 ， 从 
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而 计算 出 密 文 。 为 了 安全 ， 要 求 密 钥 流 不 能 重复 使 用 。 在 WEP 中 使 用 了 每 次 都 不 同 的 初始 向 
量 IV (Initialization Vector) 与 用 户 指定 的 固定 字符 串 来 生成 变化 的 密 钥 流 。 

最 初 的 WEP 标准 使 用 24 位 的 初始 向 量 ， 加 上 40 位 的 字符 串 ， 构 成 64 位 的 WEP 密 钥 。 
后 来 美国 政府 放宽 了 出 口 密 钥 长 度 的 限制 ， 允 许 使 用 104 位 的 字符 串 ， 加 上 24 位 的 初始 向 量 ， 
构成 128 位 的 WEP 密 钥 .通常 的 情况 是 , 用 户 指定 26 个 十 六 进 制 数 的 字符 串 (4X26 =104 位 )， 
再 加 上 系统 给 出 的 24 位 TV， 就 构成 了 128 位 的 WEP 密 钥 。 然 而 24 位 的 IV 并 没有 长 到 足以 
保证 不 会 出 现 重 复 。 事实 上 ， 只 要 网 络 足够 忙 ， 在 很 短 的 时 间 内 就 会 耗 尽 可 用 的 IV 而 使 其 出 
现 重 复 ， 这 样 WEP 密 钥 也 就 重复 了 。 

密 钥 长 度 还 不 是 WEP 安全 性 的 主要 缺陷 ， 破 解 较 长 的 密 钥 当 然 需 要 捕获 较 多 的 数据 包 ， 
但 是 有 某 些 主动 式 攻击 可 以 激发 足够 多 的 流量 。WEP 还 有 其 他 缺陷 ， 包 括 IV 雷同 的 可 能 性 以 
及 编造 的 数据 包 等 ， 对 这 些 攻击 采用 长 一 点 的 密 钥 根本 没有 用 。 

WEP 虽然 有 这 些 漏洞 ， 但 也 足以 阻止 非 专 业 人 士 的 窥探 了 。 

4) WPA 

Wi-Fi (Wireless Fidelity) 是 无 线 通 信 技 术 的 商标 ， 由 Wi-Fi 联盟 (Wi-Fi Alliance) 所 持 有 ， 
使 用 在 经 过 认证 的 IEEE 802.11 产 品 上 ， 其 目的 是 改善 基于 IEEE 802.11 标准 的 网 络 产品 之 间 的 
兼容 性 。 

无 线 网 络 中 的 安全 问题 从 暴露 到 最 终 解 决 经 历 了 相当 长 的 时 间 。 在 这 期 间 ，Wi-Fi 联 盟 的 
厂商 们 迫不及待 地 以 802.11i 草案 的 一 个 子 集 为 蓝图 制定 了 称 为 WPA (Wi-Fi Protected Access) 
的 安全 认证 方案 ， 以 便 在 市 场 上 及 时 推出 新 的 无 线 网 络 产品 。 

在 WPA 的 设计 中 包含 了 认证 、 加 密 和 数据 完整 性 校 验 3 个 组 成 部 分 。 首 先是 WPA 使 用 了 
802.1x 协议 对 用 户 的 MAC 地 址 进行 认证 ; 其 次 是 WEP 增 大 了 密 钥 和 初始 向 量 的 长 度 ， 以 128 
位 的 密 钥 和 48 位 的 初始 向 量 (IV) 用 于 RC4 加 密 。WPA 还 采用 了 可 以 动态 改变 密 钥 的 临时 密 
钥 完整 性 协议 TKIP(Temporary Key Integrity Protocol), 通过 更 频繁 地 变换 密 钥 来 减少 安全 风险 。 
最 后 ，WPA 强化 了 数据 完整 性 保护 。WEP 使 用 的 循环 元 余 校 验方 法 具有 先天 性 缺陷 ， 在 不 知 
道 WEP 密 钥 的 情况 下 ， 如 果 要 算 改 分 组 和 对 应 的 CRC 也 是 可 能 的 。WPA 使 用 报 文 完 整 性 编 
码 来 检测 伪造 的 数据 包 ， 并 且 在 报 文 认证 码 中 包含 有 帧 计数 器 ， 还 可 以 防止 重 放 攻击 。 

在 IEEE 802.11i 标准 发 布 后 ，Wi-Fi 联盟 就 按照 新 的 安全 标准 对 无 线 产 品 进行 了 认证 ， 并 
且 把 这 种 认证 方案 称 为 WPA2。 

5) IEEE 802.11i 

2004 年 6 月 正式 生效 的 IEEE 802.11i 标准 是 对 WEP 的 改进 ,为 WLAN 提供 了 新 的 安全 技 
术 。IEEE 802.11i 标准 包含 以 下 3 个 方面 的 安全 部 件 : 

。 临时 密 钥 完整 性 协议 TKIP 是 一 个 短期 的 解决 方案 ， 仍 然 使 用 RC4 加 密 方法 ， 但 是 弥 

补 了 WEP 的 安全 缺陷 。TKIP 把 密 钥 交换 过 程 中 分 解 出 来 的 组 临时 密 钥 GTK 作为 基 
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础 密 钥 ， 为 每 个 报 文生 成 一 个 新 的 加 密 密 钥 ， 通 过 这 种 方式 改进 了 数据 报 文 的 完整 性 
和 可 信任 性 。TKIP 可 用 于 老 的 802.11 设备 ， 但 是 需要 升级 原来 的 驱动 程序 。 

。 重新 制定 了 新 的 加 密 协议 ， 称 为 CBC-MAC 协议 的 计时 器 模式 〈Counter Mode with 
CBC-MAC Protocol，CCMP)。 这 是 基于 高 级 加 密 标准 AES (Advanced Encryption 
Standard) 的 加 密 方法 。AES 是 一 种 对 称 的 块 加 密 技术 ， 使 用 128 位 的 密 铀 ， 提 供 比 
RC4 更 强 的 加 密 性 能 。 由 于 AES 算法 要 求 的 计算 强度 比 RC4 大 ， 所 以 需要 新 的 硬件 
支持 。 有 的 驱动 器 采用 软件 实现 CCMP。 

。 无 论 使 用 TKIP 还 是 CCMP 进行 加 密 ， 身 份 认证 都 是 必要 的 。802.1x 是 一 种 基于 端口 
的 身份 认证 协议 。 当 无 线 工 作 站 与 AP 关联 后 ,是 否 可 以 使 用 AP 的 服务 要 取决 于 802.1x 
的 认证 结果 。 如 果 认 证 通过 ， 则 AP 为 无 线 工作 站 打开 一 个 逻辑 端口 。 这 种 认证 方案 
要 求 无 线 工 作 站 安装 802.1x 客户 端 软件 , 无 线 访问 点 要 内 嵌 802.1x 认证 代理 , 同时 它 
还 可 以 作为 Radius 客户 端 ， 将 用 户 认证 信息 转发 给 Radius 服务 器 。 

可 扩展 的 认证 协议 EAP (Extensible Authentication Protocol) 是 一 种 专门 用 于 认证 的 传输 协 

议 ， 而 不 是 认证 方法 本 身 。 或 者 说 ，EAP 是 一 种 认证 框架 ， 用 于 支持 多 种 认证 方法 。EAP 直接 
运行 在 数据 链 路 层 ， 例 如 PPP 或 IEEE 802 网 络 ， 而 不 需要 了 正 支持。 一 些 常 用 的 认证 机 制 简 述 
如 下 : 

。 ”EAP-MD5。 要 求 传送 用 户 名 和 口令 字 ， 并 用 MDS5 进行 加 密 ， 这 种 方法 类 似 于 PPP 的 
CHAP 协议 ， 由 于 不 能 抗拒 字典 攻击 ， 也 不 能 提供 相互 认证 和 密 钥 导出 机 制 ， 因 而 在 
无 线 网 中 很 少 采 用 。 

。 Lightweight EAP (LEAP)。 轻 量 级 EAP 要 求 把 用 户 名 和 口令 字 发 送 给 Radius 认证 服 
务 器 ， 这 是 Cisco 公司 的 专利 协议 ， 被 认为 不 是 很 安全 。 

。 ”EAP-TLS。 利 用 传输 层 安 全 协议 TLS 来 传送 认证 报 文 ， 用 户 和 服务 器 都 需要 X.509 证 
书 ， 这 种 方法 可 以 提供 双向 认证 RFC2716)。 

此 外 ，802.11i 还 提供 了 一 种 任 选 的 加 密 方案 WARP (Wireless Robust Authentication 
Protocol)。WARP 原来 是 为 802.11i 制定 的 基于 AES 的 加 密 协 议 ， 但 是 由 于 知识 产权 的 纠纷 ， 
后 来 就 被 CCMP 代替 了 。 支 持 WARP 是 任 选 的 ， 但 是 支持 CCMP 是 强制 的 。 

802.11i 还 实现 了 一 种 动态 密 钥 交 换 和 管理 体制 .用 户 通过 认证 后 从 认证 服务 器 得 到 一 个 主 
密 钥 MK (Master Key)。 然 后 经 过 一 系列 的 推导 过 程 ， 用 户 与 AP 之 间 会 生成 一 对 组 瞬时 密 钥 
GTK (Group Transient Key)， 用 于 组 播 和 广播 通信 。 实 际 通信 过 程 中 的 数据 加 密 密 钥 则 是 根据 
每 包 一 密 (per-packet key construction) 的 方案 由 GTK 生成 的 新 密 钥 。 

对 于 小 型 办 公 室 和 家 庭 应 用 ， 可 以 使 用 预 共 享 密 钥 PSK (Pre-Shared Key) 的 方案 ， 这 样 
就 可 以 省 去 802.1x 认证 和 密 钥 交 换 过 程 了 。256 位 的 PSK 由 给 定 的 口令 字 生 成 , 用 作 上 述 密 钥 
管理 体制 中 的 主 密 钥 MK。 整 个 网 络 可 以 共享 同一 个 PSK， 也 可 以 每 个 用 户 专用 一 个 PSK， 这 
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样 更 安全 。 
2. WLAN 的 传输 速率 


自从 1997 年 IEEE 802.11 标准 实施 以 来 , 先后 有 二 十 几 个 标准 出 台 , 其 中 , 802.11a、802.11b 
和 802.11g 采 用 了 不 同 的 通信 技术 ， 使 得 数据 传输 速率 不 断 提 升 。 但 是 与 有 线 网 络 相 比 ， 仍 然 存 
在 一 定 的 差距 。 随 着 2009 年 9 月 11 日 IEEE 802.11n 标 准 的 正式 发 布 ,这 一 差距 正在 缩小 .802.11n 
可 以 将 WLAN 的 传输 速率 由 目前 802.11a/802.11g 的 54Mbps 提高 到 300Mbps， 甚 至 600Mbps。 
这 个 成 就 主要 得 益 于 MIMO 与 OFDM 技术 的 结合 。 应 用 先进 的 无 线 通信 技术 ， 不 仅 提高 了 传 
输 速率 ， 也 极 大 地 提升 了 传输 质量 。 

正 交 频 分 复 用 (Orthogonal Frequency Division Multiplexing，OFDM) 是 一 种 多 载波 调制 
(Multi Carrier Modulation，MCM) 技术 。 其 主要 思想 是 将 信道 划分 成 若干 个 正 交 子 信道 ， 将 高 
速 数据 信号 转换 成 并 行 的 低速 子 数据 流 ， 并 将 各 个 子 数据 流 交 织 编码 ， 调 制 到 正 交 的 子 信 道上 
进行 传输 ， 在 接收 端 采用 相关 技术 可 以 将 正 交 信号 再 分 开 。 这 种 传输 方式 减少 了 子 信 道 之 间 的 
相互 干扰 ， 使 信道 均衡 变 得 相对 容易 。OFDM 具有 较 高 的 频谱 利用 率 ， 并 且 在 抵抗 多 径 效 应 、 
频率 选择 性 衰减 和 窄带 干扰 上 具有 明显 的 优势 。 

实现 OFDM 技术 需要 数字 处 理 功能 强大 的 计算 设备 。20 世纪 80 年 代 ， 数 字 集 成 电路 的 迅 
狐 发 展 使 得 快速 传 立 叶 变换 (FFT) 的 实现 变 得 相对 容易 ，OFDM 逐步 走向 了 移动 通信 领域。 
今天 ，OFDM 广泛 用 于 各 种 数字 通信 系统 中 ， 例 如 移动 无 线 FM 信道 、 数 字 用 户 线 路 系统 
(xDSL)、 数 字音 频 广播 (DAB)、 数 字 视 频 广 播 (DVB) 和 HDTV 地 面 传播 系统 ， 以 及 无 线 城 
域 网 和 第 三 代 移动 通信 (3G) 系统 中 。 

为 了 进一步 提高 带宽 利用 率 ，802.11i 还 引入 了 多 入 多 出 〈Multiple Input Multiple Output， 
MIMO) 技术 。MIMO 是 通过 多 径 无 线 信道 实现 的 ， 传 输 的 信息 流 经 过 空 时 编码 (Space Time 
Block Code，STBC) 形成 YX 个 子 信息 流 ， 由 个 天 线 发 射出 去 ， 经 空间 信道 传输 后 由 M 个 接 
收 天 线 接收 。 多 天 线 接收 机 利用 先进 的 空 时 编码 处 理 功能 对 数据 流 进行 分 离 和 解码 ， 从 而 实现 
最 佳 的 处 理 结果 。 无 线 MIMO 系统 可 以 极 大 地 提高 频谱 利用 率 ， 采 用 MIMO 技术 的 WLAN 在 
室内 环境 下 的 频谱 效率 可 以 达到 20~40bps/Hz， 而 使 用 传统 无 线 通信 技术 的 移动 蜂窝 系统 的 频 
谱 效率 仅 为 1 一 Sbps/Hz， 即 使 在 点 对 点 的 固定 微波 系统 中 也 只 有 10 一 12bpsHz。 应 用 MIMO 
的 WLAN 也 能 与 已 有 的 WLAN 标准 兼容 。 

802.11n 采用 的 智能 天 线 技术 还 扩大 了 覆盖 范围 ， 通 过 多 组 独立 天 线 组 成 的 天 线 阵列 可 以 
动态 地 调整 波束 ， 保 证 WLAN 用 户 能 接收 到 稳定 的 信号 ， 并 减少 其 他 信号 的 干扰 。 

802.1ln 还 采用 了 一 种 软件 无 线 电 技术 。 在 一 个 可 编程 的 硬件 平台 上 ， 不 同系 统 的 基站 和 
终端 都 可 以 通过 不 同 的 软件 实现 互 连 互通 。 这 使 得 802.11n 不 仅 能 实现 向 前 兼容 ， 还 可 以 实现 
WLAN 与 第 三 代 无 线 广域网 (3G) 的 互 连 互通 。 
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5.3 ”无线 个 人 网 


IEEE 802.15 工作 组 负责 制定 无 线 个 人 网 (Wireless Personal Area Network，WPAN) 的 技术 
规范 。 这 是 一 种 小 范围 的 无 线 通信 系统 , 覆盖 半径 仅 10m 左右 , 可 用 来 代替 计算 机 、 手 机 、PDA、 
数码 相机 等 智能 设备 的 通信 电缆 ， 或 者 构成 无 线 传感器 网 络 和 智能 家 庭 网 络 等 。WPAN 并 不 是 
一 种 与 无 线 局 域 网 C(WLAN) 竞争 的 技术 ，WLAN 可 替代 有 线 局 域 网 ， 而 WPAN 无 须 基础 网 
络 连接 的 支持 ， 只 能 提供 少量 小 型 设备 之 间 的 低速 率 连 接 。 

IEEE 802.15 工作 组 划分 成 4 个 任务 组 ， 分 别 制定 适合 不 同 应 用 环境 的 技术 标准 。802.15.1 
采用 了 蓝牙 技术 规范 , 这 是 最 早 实现 的 面向 低速 率 应 用 的 WPAN 标准 , 主要 开发 工作 由 蓝牙 专 
业 组 (SIG) 负责。 

802.15.2 对 蓝牙 网 络 与 802.11b 网 络 之 间 的 共存 提出 了 建议 。 这 两 种 网 络 都 采用 了 免 许可 
证 的 2.4GHz 频段 ， 它 们 之 间 会 产生 通信 干扰 ， 要 在 共享 环境 中 协同 工作 ， 必 须 采 用 802.15.2 
提出 的 交替 无 线 介质 访问 CAWMA) 和 分 组 通信 仲裁 (PTA) 方案 。 

802.15.3 把 目标 瞄准 了 低 复杂 性 、 低 价格 、 低 功 耗 的 消费 类 电子 设备 ,为 其 提供 至 少 20Mbps 
的 高 速 无 线 连 接 。2003 年 8 月 批准 的 IEEE 802.15.3 采用 64-QAM 调制 ,数据 速率 高 达 55 Mbps， 
适合 于 在 短 时 间 内 传送 大 量 的 多 媒体 文件 。 

在 人 手 可 及 的 范围 内 ， 多 个 电子 设备 可 以 组 成 一 个 无 线 Ad Hoc 网 络 ，802.15 把 这 种 网 络 
叫 作 piconet， 通 常 翻译 为 微微 网 。802.15.3 给 出 的 piconet 网 络 模 型 如 图 5-33 所 示 。 这 种 网 络 
的 特点 是 各 个 电子 设备 (DEV) 可 以 独立 地 互相 通信 ， 其 中 一 个 设备 可 以 作为 通信 控制 的 协调 
器 PNC (piconet coordinator)， 人 负责 网 络 定时 和 向 DEV 发 放 令 牌 (beacon)， 获 得 令 牌 的 DEV 
才 可 以 发 送 通信 请 求 。PNC 还 具有 管理 QoS 需求 和 调节 电源 功 耗 的 功能 。IEEE 802.15.3 定义 
了 微微 网 的 介质 访问 控制 协议 和 物理 层 技术 规范 ， 适 合 于 多 媒体 文件 传输 的 需求 。 




















图 5-33 ”piconet 网 络 模 型 
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802.15.4 瞄准 了 速率 更 低 、 距 离 更 近 的 无 线 个 人 网 。802.15.4 标准 适合 于 固定 的 、 手 持 的 
或 移动 的 电子 设备 ， 这 些 设备 的 特点 是 使 用 电池 供电 ， 电 池 寿 命 可 以 长 达 几 年 时 间 ， 通 信 速 率 
可 以 低 至 9.6kbps， 从 而 实现 低 成 本 的 无 线 通信 。802.15.4 标准 的 研发 工作 主要 由 ZigBee 联盟 
来 做 。 所 谓 ZigBee 是 指 蜜蜂 跳 的 “之 ”字形 舞蹈 ， 蜜 蜂 用 跳舞 来 传递 信息 ， 告 诉 同伴 蜜源 的 位 
置 。 “ZigBee” 形 象 地 表达 了 通过 网 络 节点 互相 传递 , 将 信息 从 一 个 节点 传输 到 远 处 另外 一 个 节 
点 的 通信 方式 。 

下 面 就 目前 应 用 较 多 的 IEEE 802.15.1 和 802.15.4 两 个 标准 展开 讨论 。 


5.3.1 蓝牙 技术 


公元 10 世纪 时 的 丹麦 国王 Harald Blatand Gormsson (958 一 986/987) 史 称 蓝牙 王 ， 因 为 他 
爱 吃 蓝 草莓 ， 牙 齿 变 成 了 蓝 色 。 他 就 是 出 身 海 盗 家 庭 的 哈 拉 尔 德 ， 主 要 成 就 是 统一 了 丹麦 、 挪 
威 和 瑞典 ， 建 立 了 强大 的 维 京王 国 。 

1998 年 5 月 ， 爱 立信 、IBM、Intel、 东 芝 和 诺基亚 5 家 公司 联合 推出 了 一 种 近 距 离 无 线 数 
据 通信 技术 ， 其 目的 被 确定 为 实现 不 同 工 业 领 域 之 问 的 协调 工作 ， 例 如 可 以 实现 计算 机 、 无 线 
手机 和 汽车 电话 之 问 的 数据 传输 。 行 业 组 织 人 员 用 哈 拉 尔 德国 王 的 外 号 来 命名 这 项 新 技术 ， 取 
其 “统一 ”的 含义 ， 这 样 就 诞生 了 “蓝牙 ”(Bluetooth) 这 一 极 具 表现 力 的 名 字 。 后 来 成 立 的 蓝 
牙 技术 专业 组 〈SIG) 负责 技术 开发 和 通信 协议 的 制定 ，2001 年 ， 蓝 牙 1.1 版 被 颁布 为 IEEE 
802.15.1 标准 。 同 年 ， 加 盟 蓝牙 SIG 的 成 员 公司 超过 2000 家 。 


1， 核心 系统 体系 结构 


根据 IEEE 802.15.1-2005 版 描述 的 MAC 和 PHY 技术 规范 , 蓝牙 核心 系统 的 体系 结构 如 图 
5-34 所 示 。 最 下 面 的 Radio 层 相当 于 OSI 的 物理 层 ， 其 中 的 RF 模块 采用 2.4GHz 的 ISM 频段 
实现 跳 频 通信 (FHSS)， 信 号 速率 为 Mbps， 数 据 速率 为 IMbps。 

在 多 个 设备 共享 同一 物理 信道 时 ， 各 个 设备 必须 由 一 个 公共 时 钟 同步 ， 并 调整 到 同样 的 跳 
频 模式 。 提 供 同步 参照 点 的 设备 叫 作 主 设备 ， 其 他 设备 则 是 从 设备 。 以 这 种 方式 取得 同步 的 一 
组 设备 构成 一 个 微微 网 ， 这 是 蓝牙 技术 的 基本 组 网 模式 。 

微微 网 中 的 设备 采用 的 具体 跳 频 模式 由 设备 地 址 字段 指明 的 算法 和 主 设备 的 时 钟 共同 决 
定 。 基 本 的 跳 频 模式 包含 由 伪 随 机 序列 控制 的 79 个 频率 。 通 过 排除 干扰 频率 的 自 适应 技术 可 
以 改进 通信 效率 ， 并 实现 与 其 他 ISM 频段 设备 的 共存 。 

物理 信道 被 划分 为 时 槽 ， 数 据 被 封装 成 分 组 ， 每 个 分 组 占用 一 个 时 槽 。 如 果 情 况 允 许 ， 一 
系列 连续 的 时 槽 可 以 分 配给 单个 分 组 使 用 。 在 一 对 收发 设备 之 间 可 以 用 时 分 多 路 (TID) 方式 
实现 全 双 工 通信 。 
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图 5-34 ”蓝牙 核心 系统 体系 结构 


物理 信道 之 上 是 各 种 链 路 和 信道 层 及 其 有 关 的 协议 。 以 物理 信道 为 基础 ， 向 上 依次 形成 的 
信道 层次 为 物理 信道 、 物 理 链 路 、 罗 辑 传输 、 罗 辑 链 路 和 L2CAP (Logical Link Control and 
Adaptation Protocol) 信道 ， 如 图 5-35 所 示 。 
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ACL 一 Asynchronous Connection-oriented Logical transport 
SCO 一 Synchronous Connection-Oriented 

eSCO 一 extended SCO 

ASB 一 Active Slave Broadcast (无 连接 

PSB 一 Parked Slave Broadcast (无 连接 ) 


图 5-35 ”传输 体系 结构 实体 及 其 层次 
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在 物理 信道 的 基础 上 ， 可 以 在 一 个 从 设备 和 主 设 备 之 间 生 成 物理 链 路 。 一 条 物理 链 路 可 以 
支持 多 条 迪 辑 链 路 ， 只 有 迪 辑 链 路 才 可 以 进行 单 播 同 步 通 信 、 异 步 等 时 通信 或 者 广播 通信 ， 不 
同 的 逻辑 链 路 用 于 支持 不 同 的 应 用 需求 。 罗 辑 链 路 的 特性 由 与 其 相关 联 的 逻辑 传输 决定 。 所 谓 
的 逻辑 传输 实际 上 是 逻辑 链 路 传输 特性 的 形式 表现 ， 不 同 的 逻辑 传输 在 流量 控制 、 应 答 和 重 传 
机 制 、 序 列 号 编码 以 及 调度 行为 等 方面 有 所 区 别 ， 用 于 支持 不 同类 型 的 逻辑 链 路 。 异 步 面 向 连 
接 的 迪 辑 传输 ACL 用 来 传送 管理 信 令 ， 而 同步 面向 连接 的 多 辑 传输 SCO 用 于 传送 64kbps 的 
PCM 话音 。 具 有 其 他 特性 的 逻辑 传输 用 来 支持 各 种 单 播 的 和 广播 的 、 可 靠 的 和 不 可 靠 的 、 分 组 
的 和 不 分 组 的 数据 流 。 

基带 层 和 物理 层 的 控制 协议 叫 作 链 路 管理 协议 LMP (Link Manager Protocol)， 用 于 控制 设 
备 的 运行 ， 并 提供 底层 设施 (PHY 和 BB) 的 管理 服务 。 每 个 处 于 活动 状态 的 设备 都 具有 一 个 
默认 的 ACL 用 于 支持 LMP 信 令 的 传送 。 默 认 的 ACL 是 当 设备 加 入 微微 网 时 随即 产生 的 ， 需 
要 时 可 以 动态 生成 一 条 逻辑 传输 来 传送 同步 数据 流 。 

逻辑 链 路 控制 和 自 适 应 协议 L2CAP 是 对 应 用 和 服务 的 抽象 ， 其 功能 是 对 应 用 数据 进行 分 
段 和 重 装配 ， 并 实现 逻辑 链 路 的 复 用 。 提 交 给 L2CAP 的 应 用 数据 可 以 在 任何 支持 L2CAP 的 迪 
辑 链 路 上 传输 。 

核心 系统 只 包含 4 个 低层 功能 及 其 有 关 的 协议 。 最 下 面 的 3 层 通常 被 组 合成 一 个 子 系统 ， 
构成 了 蓝牙 控制 器 ， 而 上 面 的 L2CAP 以 及 更 高 层 的 服务 都 运行 在 主机 中 。 蓝 牙 控制 器 与 高 层 
之 间 的 接口 叫 作 主机 控制 器 接口 HCI (Host Controller Interface)。 

设备 之 间 的 互 操作 通过 核心 系统 协议 实现 ， 主 要 的 协议 有 RF (Radio Frequency) 协议 、 
链 路 控制 协议 LCP (Link Control Protocol)、 链 路 管理 协议 LMP 和 IL2CAP 协议 。 

核心 系统 通过 服务 访问 点 〈SAP) 提供 服务 ， 如 图 5-34 中 的 椭圆 所 示 。 所 有 的 服务 分 为 
3 类: 

。 ”设备 控制 服务 ， 改 变 设备 的 运行 方式 。 

。 ”传输 控制 服务 ， 生 成 、 修 改 和 释放 通信 载体 信道 和 链 路 )。 

。 数据 服务 : 把 数据 提交 给 通信 载体 来 传输 。 
主机 和 控制 器 通过 HCI 通信 。 通 常 ， 控 制 器 的 数据 缓冲 能 力 比 主机 小 ， 因 而 L2CAP 在 把 
协议 数据 单元 提交 给 控制 器 使 其 传送 给 对 等 设备 时 要 完成 简单 的 资源 管理 功能 , 包括 对 L2CAP 
服务 数据 单元 (SDU》 和 协议 数据 单元 (PDU) 分 段 ， 以 便 适 合 控制 器 的 缓冲 区 管理 ， 并 保证 
需要 的 服务 质量 (QoS)。 

基带 层 协议 提供 了 基本 的 ARQ 功能 ,然而 L2CAP 还 可 以 提供 任 选 的 差错 检测 和 重 传 功能 ， 
这 对 于 要 求 低 误 码 率 的 应 用 是 必要 的 补充 。L2CAP 的 任 选 特性 还 包括 基于 窗口 的 流量 控制 功 
能 ， 用 于 接收 设备 的 缓冲 区 管理 。 这 些 任 选 特性 在 某 些 应 用 场景 中 对 于 保障 QoS 是 必需 的 。 
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2. 核心 功能 模块 


图 5-34 中 表示 的 核心 功能 模块 如 下 。 

(1) 信道 管理 器 : 负责 生成 、 管 理 和 释放 用 于 传输 应 用 数据 流 的 L2CAP 信道 。 信 道 管理 
器 利用 L2CAP 协议 与 远方 的 对 等 设备 交互 作用 ， 生 成 L2CAP 信道 ， 并 将 其 端点 连接 到 适当 的 
实体 。 信道 管理 器 还 与 本 地 的 LM 交互 作用 ,必要 时 生成 新 的 逻辑 链 路 ， 并 配置 这 些 迎 辑 链 路 ， 
以 提供 需要 的 QoS 服务 。 

(2) L2CAP 资源 管理 器 : 把 L2CAP 协议 数据 单元 分 段 ， 并 按照 一 定 的 顺序 提交 给 基带 
层 ， 而 且 还 要 进行 信道 调度 ， 以 保证 一 定 QoS 的 L2CAP 信道 不 会 被 物理 信道 (由 于 资源 耗 尽 ) 
所 拒绝 。 这 个 功能 是 必要 的 ， 因 为 体系 结构 模型 并 不 保证 控制 器 具有 无 限 的 缓冲 区 ， 也 不 保证 
HCI 管道 具有 无 限 的 带宽 。L2CAP 资源 管理 器 的 另 一 个 功能 是 实现 通信 策略 控制 ， 避 免 与 邻居 
的 QoS 设置 发 生 冲 突 。 

(3) 设备 管理 器 : 负责 控制 设备 的 一 般 行 为 。 这 些 功 能 与 数据 传输 无 关 ， 例 如 发 现 临近 的 
设备 是 否 出 现 ， 以 便 连接 到 其 他 设备 ， 或 者 控制 本 地 设备 的 状态 ， 使 其 可 以 与 其 他 的 设备 建立 
连接 。 设 备 管理 器 可 以 向 本 地 的 基带 资源 管理 器 请 求 传输 介质 ， 以 便 实 现 自己 的 功能 。 设 备 管 
理 器 也 要 根据 HCI 命令 控制 本 地 设备 的 行为 ， 并 管理 本 地 设备 的 名 字 以 及 设备 中 存储 的 链 路 
密 钥 。 

(4) 链 路 管理 器 (LM): 负责 生成 、 修 改 和 释放 逻辑 链 路 及 其 相关 的 逻辑 传输 ， 并 修改 设 
备 之 间 的 物理 链 路 参数 。 本 地 LM 模块 通过 与 远程 设备 的 LM 进行 LMP 通信 来 实现 自己 的 功 
能 。LMP 协议 可 以 根据 请 求生 成 新 的 逻辑 链 路 和 逻辑 传输 ， 并 对 链 路 的 传输 属性 进行 配置 ， 例 
如 可 以 实现 逻辑 传输 的 加 密 、 调 整 物理 链 路 的 发 送 强 度 以 便 节约 能 源 、 改 变 逻 辑 路 的 QoS 配 

(5) 基带 资源 管理 器 : 负责 对 物理 层 的 访问 。 它 有 两 个 主要 功能 ， 其 一 是 调度 功能 ， 即 对 
发 出 访问 请 求 的 各 方 实 体 分 配 物理 信道 的 访问 时 段 ; 其 二 是 与 这 些 实体 协商 包含 QoS 承诺 的 访 
问 合 同 。 访 问 合同 和 调度 功能 涉及 的 因素 很 多 ， 包 括 实 现 数 据 交 换 的 各 种 正常 行为 ， 风 辑 传 输 
的 特性 的 设置 ， 轮 询 覆 盖 范 围 内 的 设备 ， 建 立 连 接 ， 设 备 的 可 发 现 、 可 连接 状态 管理 ， 以 及 在 
自动 跳 频 模式 下 获取 未 经 使 用 的 载波 等 。 

在 某 些 情况 下 ， 风 辑 链 路 调度 的 结果 可 能 是 改变 了 目前 使 用 的 物理 链 路 ,例如 在 由 多 个 微 
微 网 构成 的 散射 网 (scattemet) 中 ， 使 用 轮 询 或 呼叫 过 程 扫描 可 用 的 物理 信道 时 都 可 能 出 现 这 
种 情况 。 当 物理 信道 的 时 槽 错位 时 ， 资 源 管理 器 要 把 原来 物理 信道 的 时 槽 与 新 物理 信道 的 时 村 
重新 对 准 。 

(6) 链 路 控制 器 : 负责 根据 数据 负载 和 物理 信道 、 罗 辑 传输 和 逮 辑 链 路 的 参数 对 分 组 进行 
编码 和 译 码 。 链 路 控制 器 还 执行 直 CP 信 令 ， 实 现 流量 控制 ， 以 及 应 答 和 重 传 功能 。LCP 信 令 的 
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解释 体现 了 与 基带 分 组 相关 的 逻辑 传输 特性 ， 这 个 功能 与 资源 管理 器 的 调度 有 关 。 

(7) RF (Radio Frequency): 这 个 模块 用 于 发 送 和 接收 物理 信道 上 的 数据 分 组 。BB 与 RF 
模块 之 间 的 控制 通路 用 来 控制 载波 定时 和 频率 选择 。 RF 模块 把 物理 信道 和 BB 上 的 数据 流转 换 
成 需要 的 格式 。 


3. 数据 传输 结构 
核心 系统 提供 各 种 标准 的 传输 载体 ， 用 于 传送 服务 协议 和 应 用 数据 。 在 图 5-36 中 ， 圆 角 


方 框 表 示 核 心 载体 ， 而 应 用 则 画 在 图 的 左边 。 通 信 类 型 与 核心 载体 的 特性 要 进行 匹配 ， 以 便 实 
现 最 有 效率 的 数据 传输 。 




















可 党 的 异步 
户 数据 


的 不 | 
的 用 | 





SCOLS} 





eSCO[-S] 


不 可 旬 的 异步 
成 由 的 用 户 数据 





字母 C 表示 承载 LMP 报 文 的 控制 链 路 
字母 UU 表示 承载 用 户 数据 的 L2CAP 链 路 
字母 S 表示 承载 无 格式 同步 或 等 时 数据 的 流 式 链 路 


图 5-36 通信 载体 


L2CAP 服务 对 于 异步 的 〈asynchronous) 和 等 时 的 〈isochronous) 用 户 数据 提供 面向 帧 的 
传输 。 面 向 连接 的 L2CAP 信道 用 于 传输 点 对 点 单 播 数据 。 无 连接 的 L2CAP 信道 用 于 广播 数据 。 

L2CAP 信道 的 QoS 设置 定义 了 帧 传送 的 限制 条 件 ， 例 如 可 以 说 明 数 据 是 等 时 的 ， 因 而 必 
须 在 其 有 限 的 生命 期 内 提交 ; 或 者 指示 数据 是 可 靠 的 ， 必 须 无 差错 地 提交 。 

如 果 应 用 不 要 求 按 帧 提交 数据 ， 也 许 是 因为 帧 结构 被 包含 在 数据 流 内 ， 或 者 数据 本 身 是 纯 
流 式 的 ， 这 时 不 应 使 用 L2CAP 信道 ， 而 应 直接 使 用 BB 逻辑 链 路 来 传送 。 非 帧 的 流 式 数据 使 用 
SCO 逻辑 传输 。 

核心 系统 支持 通过 SCO (SCO-S) 或 扩展 的 SCO (CeSCO-S) 直接 传输 等 时 的 和 固定 速率 
的 应 用 数据 。 这 种 逻辑 链 路 保留 了 物理 信道 的 带宽 ， 提 供 了 由 微微 网 时 钟 锁定 的 固定 速率 。 数 
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据 的 分 组 大 小 、 传 输 的 时 间 间 隔 ， 这 些 参数 都 是 在 信道 建立 时 协商 好 的 。eSCO 链 路 可 以 更 灵 
活 地 选择 数据 速率 ， 而 且 通 过 有 限 的 重 传 提供 了 更 大 的 可 靠 性 。 

应 用 从 BB 层 选 择 最 适当 的 逻辑 链 路 类 型 来 传输 它 的 数据 流 .通常 ,应 用 通过 成 帧 的 L2CAP 
单 播 信道 向 远 处 的 对 等 实体 传输 C 平面 信息 。 如 果 应 用 数据 是 可 变速 率 的 ， 则 只 能 把 数据 组 织 
成 帧 通过 L2CAP 信道 传送 。 

RF 信道 通常 是 不 可 靠 的 。 为 了 克服 这 个 缺陷 ， 系 统 提供 了 多 种 级 别 的 可 靠 性 措施 。BB 分 
组 头 使 用 了 纠 错 编码 ， 并 且 配 合 头 校 验 和 来 发 现 残余 差错 。 某 些 BB 分 组 类 型 对 负载 也 进行 纠 
错 编码 ， 还 有 的 BB 分 组 类 型 使 用 循环 见 余 校 验 码 来 发 现 错误 。 

在 ACL 逻辑 传输 中 实现 了 ARQ 协议 ， 通 过 自动 请 求 重 发 来 纠正 错误 。 对 于 延迟 敏感 的 分 
组 ， 不 能 成 功 发 送 时 立即 丢弃 。eSCO 链 路 通过 有 限 次 数 的 重 传 方 案 来 改进 可 靠 性 。L2CAP 提 
供 了 附加 的 差错 控制 功能 ， 用 于 检测 偶然 出 现 的 差错 ， 这 对 于 某 些 应 用 是 有 用 的 。 


5.3.2 ZigBee 技术 


ZigBee 是 基于 IEEE 802.15.4 开发 的 一 组 关于 组 网 、 安 全 和 应 用 软件 的 技术 标准 。802.15.4 
与 ZigBee 的 角色 分 工 如 同 802.11 与 Wi-Fi 的 关系 一 样 。802.15.4 定义 了 低速 WPAN 的 MAC 和 
PHY 标准 ， 而 ZigBee 联盟 则 对 网 络 层 协议 、 安 全 标准 和 应 用 架构 (Profile) 进行 了 标准 化 ， 并 
制定 了 不 同 制 造 商 产品 之 间 的 互 操 作 性 和 一 致 性 测试 规范 。 


1. IEEE 802.15.4 标准 


802.15.4 定义 的 低速 无 线 个 人 网 (Low Rate-WPAN) 包含 两 类 设备 ， 即 全 功能 设备 《Full- 
Function Device，FFD) 和 简单 功能 设备 (Reduced-Function Device，RFD)。FFD 有 3 种 工作 
模式 ， 可 以 作为 一 般 的 设备 、 协 调 器 (Coordinator) 或 PAN 协调 器 ， 而 RFD 功能 简单 ， 只 能 
作为 设备 使 用 ， 例 如 电灯 开关 、 被 动 式 红 外 传感器 等 ， 这 些 设备 不 需要 发 送 大 量 的 信息 ， 通 常 
接受 某 个 FFD 的 控制 。FFD 可 以 与 RFD 或 其 他 FFD 通信 ， 而 RFD 只 能 与 FFD 通信 ，REFD 之 
间 不 能 互相 通信 。 

LR-WPAN 网 络 的 拓扑 结构 如 图 5-37 所 示 。 在 星 型 拓扑 中 ， 只 有 在 设备 和 PAN 协调 器 之 
间 才 能 通信 ， 在 设备 之 间 不 能 互相 通信 。 当 一 个 FFD 被 激活 后 ， 它 就 开始 建立 自己 的 网 络 ， 并 
成 为 该 网 络 的 PAN 协调 器 。 在 无 线 信号 可 及 的 范围 内 ， 如 果 有 多 个 星 型 网 络 ， 则 各 个 星 型 网 络 
用 唯一 的 标识 符 互相 区 分 ， 各 自 独 立地 工作 ， 而 与 其 他 网 络 无 关 。 

通常 的 设备 都 与 某 种 应 用 有 关 ， 可 以 作为 通信 的 发 起 者 或 接受 者 。 PAN 协调 器 也 可 以 运行 
某 些 应 用 ， 但 它 的 主要 角色 是 发 起 或 接受 通信 ， 并 管理 路 由 。PAN 协调 器 是 PAN 的 控制 器 ， 
其 他 设备 都 接受 它 的 控制 。PAN 协调 器 通常 是 插 电 工作 的 ， 而 一 般 的 设备 都 是 用 电池 供电 的 。 
星 型 网 络 可 用 于 家 庭 自动 化 、PC 机 外 设 管理 、 玩 具 和 游戏 ， 以 及 个 人 健康 护理 等 网 络 环境 。 
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星 型 拓扑 点 对 点 星 型 拓扑 
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PAN 全 功能 设备 
协调 器 扣 2 交 间 功能 设备 
一 > 通信 链 路 


图 5-37 LR-PAN 拓扑 结构 


点 对 点 网 络 与 星 型 网 络 不 同 ， 这 种 网 络 中 的 所 有 设备 之 间 都 可 以 互相 通信 ， 只 要 处 于 信号 
覆盖 范围 之 内 。 点 对 点 拓扑 可 以 构成 更 复杂 的 网 络 ， 工 业 控 制 和 监控 网 络 、 无 线 传感器 网 络 、 
库房 管理 和 资产 跟踪 网 络 、 智 能 农业 网 络 和 安全 监控 网 络 等 都 可 以 通过 点 对 点 拓扑 来 构建 。 点 
对 点 网 络 也 可 以 构成 自 组 织 、 自 愈合 的 Ad Hoc 网 络 。 如 果 要 构成 多 跳 的 路 由 网 络 ， 则 需要 高 
层 协 议 的 支持 。 

对 于 例子 ， 可 以 举 用 点 对 点 拓扑 构建 的 簇 集 树 (cluster tree) 网 络 。 这 种 网 络 中 的 大 部 分 
设备 都 是 FFD， 少 数 RFD 可 以 连接 到 树枝 上 成 为 叶子 节点 。 任 何 一 个 FFD 都 可 以 作为 协调 器 
来 提供 网 络 中 的 同步 和 路 由 服务 ， 然 而 只 有 一 个 协调 器 是 PAN 协调 器 。PAN 协调 器 比 其 他 设 
备 拥 有 更 多 的 计算 资源 , 它 建 立 了 网 络 中 的 第 一 个 簇 , 并 把 自己 的 PAN 标识 通过 信 标 帧 广播 给 
邻近 的 设备 。 如 果 有 两 个 或 多 个 FFD 竞争 PAN 协调 器 ， 则 需要 高 层 协议 对 竞争 过 程 进行 仲裁 。 
接受 信 令 帧 的 候选 设备 可 以 请 求 加 入 PAN 协调 器 建立 的 网 络 。 如 果 得 到 PAN 协调 器 的 许可 ， 
则 新 设备 就 成 为 孩子 设备 ， 并 将 其 加 入 的 PAN 协调 器 作为 双亲 设备 添加 到 自己 的 邻居 列表 中 。 
如 果 一 个 设备 不 能 加 入 PAN 协调 器 管理 的 网 络 ， 则 它 必须 继续 搜索 其 他 的 双亲 设备 。 

单个 艇 是 最 简单 的 簇 集 树 ， 大 型 网 络 可 能 由 互相 邻接 的 多 个 簇 构成 一 个 网 状 结构 。 网 络 中 
的 第 一 个 PAN 协调 器 可 以 指导 其 他 设备 变 成 新 徐 的 PAN 协调 器 。 当 其 他 设备 逐渐 加 入 进来 时 ， 
网 状 结构 就 形成 了 ， 如 图 5-38 所 示 ， 图 中 的 线条 表示 孩子 和 双亲 关系 而 不 是 通信 流 。 多 簇 结构 
的 优点 是 扩大 了 覆盖 范围 ， 缺 点 是 增加 了 通信 延迟 。 

802.15.4 的 体系 结构 如 图 5-39 所 示 ， 其 中 的 深 色 部 分 是 802.15.4 定义 的 PHY 和 MAC 
规范 ， 浅 色 部 分 则 归 ZigBee 联盟 管理 。 物 理 层 (PHY) 包含 RF 收发 器 和 底层 管理 功能 ， 通 
过 物理 层 管理 实体 服务 访问 点 (PLME-SAP) 和 物理 数据 服务 访问 点 (PD-SAP) 向 上 层 提供 
服务 。 
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图 5-39 LR-WPAN 体系 结构 


802.15.4-2006 标准 定义 的 4 种 物理 层 如 下 。 

。 868/915 MHz: 直接 序列 扩 频 (DSSS)， 二 进 制 相 移 键 控 (BPSK) 调制 ， 数 据 速率 为 
20 bps 和 40kbps。 

。 ”868/915 MHz: 直接 序列 扩 频 (DSSS)， 偏 置 正 交 相 移 键 控 〈O-QPSK)〉 调 制 ， 数 据 速 
率 为 100kbps 和 250kbps。 

。 868/915 MHz: 并 行 序列 扩 频 (PSSS), 二 进 制 相 移 键 控 (BPSK ) 调 制 和 幅度 键 控 (ASK) 
调制 ， 数 据 速率 为 250kbps。 

。 2.450 GHz: 直接 序列 扩 频 (DSSS)， 偏 置 正 交 相 移 键 控 (O-QPSK) 调制 ， 数 据 速率 
为 250kbps。 
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其 中 ， 两 个 868/915 MHz 标准 (O-QPSK PHY 和 ASK PHY) 是 2006 标准 中 新 增加 的 。 

MAC 子 层 提供 MAC 数据 传输 服务 和 MAC 管理 服务 ， 通 过 MAC 层 管理 实体 服务 访问 点 
(MLME-SAP) 和 MAC 公共 部 分 子 层 服务 访问 点 (MCPS-SAP) 向 上 层 提供 服务 。 

MAC 子 层 提供 两 种 信道 访问 方式 ， 即 基于 竞争 的 访问 和 无 竞争 的 访问 。 对 于 低 延 迟 的 应 
用 或 者 要 求 特别 带宽 的 应 用 ，PAN 协调 器 要 为 其 分 配 保障 时 槽 GTS (Guaranteed Time Slots) ， 
在 保障 时 槽 内 可 以 进行 无 竞争 的 访问 。 

基于 竞争 的 访问 方式 应 用 了 CSMA/CA 后 退 算法 ,而且 划分 为 不 分 时 槽 的 和 分 时 槽 的 两 个 
不 同 版 本 。 不 分 时 槽 的 CSMA/CA 协议 应 用 在 未 启用 令 牌 的 网 络 中 ， 当 一 个 设备 要 发 送 数据 帧 
或 MAC 命令 时 : 

@ 等 待 一 段 随机 时 间 ; 

@ 如 果 信 道 闲 ， 则 随机 后 退 一 段 时 间 ， 然 后 开始 发 送 ， 否 则 转 @); 

图 如 果 信 道 忙 ， 则 转 〇 D。 

在 启用 令 牌 的 网 络 中 必须 使 用 CSMA/CA 协议 的 分 时 槽 版本， 这 个 算法 与 前 一 算法 的 竞争 
过 程 基本 一 样 ， 区 别 是 后 退 时 间 要 与 令 牌 控制 的 时 槽 对 准 。 当 设备 要 发 送 数据 帧 时 ， 首 先 定位 
到 下 一 个 后 退 时 槽 的 界限 ， 然 后 : 

@ 等 待 一 段 随机 数量 的 时 槽 ; 

@ 如 果 信 道 闲 ， 则 在 下 一 个 时 槽 开始 时 立即 发 送 ， 否 则 转 @; 

@ 如 果 信 道 忙 ， 则 转 @D。 

MAC 数据 帧 和 PHY 分 组 的 结构 如 图 5-40 所 示 ， 对 其 中 各 个 字段 的 解释 如 下 。 

1 4 或 10 0,5,6,10 或 14 nm 2 


数据 负载 


MAC 负 载 MAC 尾 | 











1 | TH4~24)m 


本 前 导 序列 | 帧 起 始 定 界 符 PSDU 
| 让 抬头 分 组 关 PHYh 载 | 


图 5-40 MAC 数据 帧 和 PHY 分 组 








。 ”由 控制 :说明 帧 类 型 (000 表示 令 牌 帧 、001 表示 数据 帧 、010 表示 应 答 帧 、011 表示 
MAC 命令 帧 )、 是 否 最 后 一 帧 、 是 否 需 要 应 答 、 地 址 模式 、 以 及 压缩 的 PAN 标识 等 。 

。 顺序 号 : 数据 帧 的 顺序 号 用 于 与 应 答 帧 匹配 。 

。 地 址 : 可 以 使 用 16 位 的 短 地 址 或 64 位 的 长 地 址 。 

。 ”辅助 安全 头 : 说 明了 加 密 、 认 证 和 防止 重 放 攻 击 的 算法 ， 以 及 PAN 安全 数据 库 中 存放 
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的 密 钥 ， 该 字段 为 可 变 长 。 

。 FCS: 16 位 的 CRC 校 验 码 。 

。 前 导 序列 : 用 于 信号 同步 ， 根 据 调 制 方式 的 不 同 可 采用 不 同 的 符号 和 长 度 。 

。 。 帧 起 始 定 界 符 : 指示 同步 符号 的 结束 和 分 组 数据 的 开始 ， 根 据 调 制 方式 的 不 同 ， 其 长 
度 和 模式 也 不 同 。 

。 帧 长 度 : 说 明 PSDU 的 总 字 节 数 。 


2. ZigBee 网 络 


ZigBee 联盟 由 Ember、Emerson、Freescale 等 12 家 半导体 器 件 和 控制 设备 制造 商 发 起 ， 加 
盟 的 公司 有 300 多 家 ， 其 主要 任务 如 下 : 

(1) 定义 ZigBee 的 网 络 层 、 安 全 层 和 应 用 层 标准 。 

(2) 提供 互 操作 性 和 一 致 性 测试 规范 。 

(3) 促进 ZigBee 品牌 的 全 球 化 市 场 保 证 。 

(4) 管理 ZigBee 技术 的 演变 。 

图 5-41 所 示 为 ZigBee 联盟 指导 委员 会 定义 的 ZigBee 技术 规范 (2005)， 描 述 了 ZigBee 网 
络 的 基础 结构 和 可 利用 的 服务 。 图 5-41 下 面 两 块 是 IEEE 802.15.4 定义 的 MAC 和 了 PHY 标准 ， 
上 面 是 ZigBee 联盟 定义 的 网 络 层 和 应 用 层 , 其 中 的 应 用 对 象 由 网 络 开发 商定 义 。 开 发 商 可 提供 
多 种 应 用 对 象 ， 以 满足 不 同 的 应 用 需求 。ZigBee 网 络 层 (NWK) 提供 了 建立 多 跳 网 络 的 路 由 
功能 。APL 层 包含 了 应 用 支持 子 层 (APS) 和 ZigBee 设备 对 象 (ZDO)， 以 及 各 种 可 能 的 应 用 。 
ZDO 的 作用 是 提供 全 面 的 设备 管理 ，APS 的 功能 是 对 ZDO 和 各 种 应 用 提供 服务 。 
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图 5-41 ZigBee 协议 栈 
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ZigBee 的 安全 机 制 分 散在 MAC、NWK 和 APS 层 ， 分 别 对 MAC 帧 、NWK 帧 和 应 用 数据 
进行 安全 保护 。APS 子 层 还 提供 建立 和 维护 安全 关系 的 服务 。ZigBee 设备 对 象 ZDO 管理 安全 
策略 和 设备 的 安全 配置 。 

ZigBee 的 网 络 层 和 MAC 层 都 使 用 高 级 加 密 标 准 AES， 以 及 结合 了 加 密 和 认证 功能 的 
CCM* 分 组 加 密 算法 。 分 组 加 密 也 称 块 加 密 (Block Cipher)， 其 操作 方式 是 将 明文 按照 分 组 算 
法 划分 为 128 位 的 区 块 ， 对 各 个 区 块 分 别 进行 加 密 ， 整 个 密 文 形成 一 个 密码 块 链 。 

ZigBee 协调 器 管理 网 络 的 路 由 功能 ， 其 路 由 表 如 图 5-42 所 示 。 


i | es | 
[| 


图 5-42 路 由 表 














其 中 的 地 址 字段 采用 16 位 的 短 地 址 ，3 位 状态 位 指示 的 状态 如 下 。 

(1) 0x0: 活动 。 

(2) 0x1: 正在 发 现 。 

(3) 0x2: 发 现 失败 。 

(4) 0x3: 不 活动 。 

(5) 0x4 一 0x7: 保留 。 

ZigBee 采用 的 路 由 算法 是 按 需 分 配 的 距离 矢量 协议 AODV。 当 NWK 数据 实体 要 发 送 数据 
分 组 时 ， 如 果 路 由 表 中 不 存在 有 效 的 路 由 表 项 ， 则 首先 要 进行 路 由 发 现 ， 并 对 找到 的 各 个 路 由 
计算 通路 费用 。 

假设 长 度 为 工 的 通路 己 由 一 系列 设备 [D,.D;…,Dr] 组 成 , 如 果 用 [Di Di] 表示 两 个 设备 之 间 
的 链 路 ， 则 通路 费用 可 计算 如 下 : 


clp}=F. cD.D.) 
其 中 ，C{[D;,Di 表示 链 路 费用 。 链 路 1 的 费用 C 仍 用 下 面 的 函数 计算 : 


7, 
| 叫 | | 
in| 7.round| 一 
Db, 
其 中 ，pi 表 示 在 链 路 1 上 可 进行 分 组 提交 的 概率 。 


可 见 ， 链 路 的 费用 与 链 路 上 可 提交 分 组 的 概率 的 4 次 方 成 反比 ， 一 条 通路 的 费用 的 值 位 于 
区 间 [0...7] 中 。 
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5.4 “无 线 城 域 网 


IEEE 802.16 工作 组 提出 的 无 线 接 入 系统 空中 接口 标准 是 一 种 无 线 城 域 网 技术 ， 许 多 网 络 
运营 商都 加 入 了 支持 这 个 标准 的 行列 ， 它 是 一 种 很 有 前 途 的 无 线 宽带 联网 新 技术 。 

WiMAX (World Interoperability for Microwave Access) 论坛 是 由 Intel 等 芯片 制造 商 于 2001 
年 发 起 成 立 的 ， 其 任务 是 对 IEEE 802.16 产品 进行 一 致 性 认证 ， 促 进 标准 的 互 操 作 性 ， 其 成 员 
襄 括 了 超过 500 家 通信 行业 的 运营 商 和 组 件 /设备 制造 商 。 

目前 比较 成 熟 的 标准 有 两 个 , 一 个 是 2004 年 颁布 的 802.16d, 这 个 标准 支持 无 线 固定 接 入， 
也 叫 作 固定 WiMAX; 另 一 个 是 2005 年 颁布 的 802.16e， 它 是 在 前 一 标准 的 基础 上 增加 了 对 移 
动 性 的 支持 ， 所 以 也 称 为 移动 WiMAX。 

WiMAX 技术 主要 有 两 个 应 用 领域 ， 一 个 是 作为 蜂 窜 网络 、Wi-Fi 热点 和 Wi-Fi Mesh 的 回 
程 链 路 ， 另 一 个 是 作为 最 后 一 千 米 的 无 线 宽带 接 入 链 路 。 回 程 链 路 (Backhaul〉 是 指 从 接 入 网 
络 到 达 交 换 中 心 的 连接 。 例 如 ， 用户 在 网 吧 用 Wi-Fi 上 网 时 ，Wi-Fi 设备 必须 连接 ISP 端 ， 这 中 
间 的 连接 就 是 回程 链 路 。 发 达 地 区 己 有 的 微波 或 有 线 (TIE1) 回程 链 路 需要 升级 ， 发 展 中 地 
区 随 着 WLAN 的 应 用 和 蜂窝 网 用 户 的 增长 ， 需 要 建立 新 的 回程 链 路 。 固 定 WiMAX 可 以 提供 
成 本 低 、 远 距离 、 高 带宽 的 回程 传输 。 

在 无 线 宽带 接 入 方面 ，WiMAX 比 Wi-Fi 的 履 盖 范围 更 大 ， 数 据 速率 更 高 。 同 时 ，WiMax 
比 Wi-Fi 具有 更 好 的 可 扩展 性 和 安全 性 ， 从 而 能 够 实现 电信 级 的 多 媒体 通信 服务 。 高 带宽 可 以 
补偿 下 网 络 的 缺陷 ， 从 而 使 VoIP 的 服务 质量 大 大 提高 。 

移动 WiMAX (802.16e) 向 下 兼容 802.16d， 在 移动 性 方面 定位 的 目标 速率 为 车 速 ， 可 以 
支持 120knyh 的 移动 速率 。 当 移动 速度 较 高 时 ， 由 于 多 普 勒 频 移 会 造成 系统 性 能 下 降 ， 所 以 必 
须 在 移动 速率 、 带 宽 和 覆盖 范围 之 间 进行 权衡 折 中 。3G 技术 强调 地 域 上 的 全 和 覆盖 和 高 速 的 移 
动 性 ， 强 调 “ 无 所 不 在 ”的 服务 ， 而 802.16 则 御 牲 了 全 覆盖 ， 仅 保证 在 一 定 区 域内 实现 连续 覆 
盖 ， 从 而 换取 了 数据 传输 速率 的 提高 。 

IEEE 802.16 的 协议 栈 模 型 由 物理 层 和 MAC 层 组 成 ，MAC 层 又 分 成 了 3 个 子 层 ， 即 面向 
服务 的 汇聚 子 层 (Service Specific Convergence Sublayer)、 公共 部 分 子 层 (Common Part Sublayer) 
和 安全 子 层 (Privacy Sublayer)， 如 图 5-43 所 示 。 


5.4.1 关键 技术 


802.16 系统 采用 两 个 工作 频段 ， 其 中 ，10 一 66GHz 频段 的 工作 波长 较 短 ， 只 能 进行 视 距 传 
输 ， 这 时 可 以 忽略 多 径 衰减 的 影响 。802.16 规定 ， 在 这 个 频段 可 以 采用 单 载波 调制 方式 ， 例 如 
QPSK、16-QAM， 甚 至 还 可 以 支持 64-QAM。 


国医 


网 络 工程 师 教程 (第 5 版 


少 不 赣 司 











图 5-43 IEEE 802.16 协议 栈 模型 


在 2 一 11GHz 频段 可 以 进行 非 视 距 传输 ， 但 必须 考虑 多 径 衰减 的 影响 ， 这 时 每 个 子 载波 的 
调制 方式 可 以 选用 B/SK、QPSK、16-QAM 或 64-QAM。 

802.16 采用 的 多 路 复 用 方式 OFDM/OFDMA 被 认为 是 下 一 代 无 线 通信 网 的 关键 技术 。 
OFDM 具有 较 高 的 频谱 利用 率 ， 并 且 在 抵抗 多 径 效应 、 频 率 选 择 性 衰减 和 罕 带 干扰 上 具有 明显 
的 优势 。 正 交 频 分 多 址 OFDMA 是 利用 OFDM 的 概念 实现 上 行 多 址 接 入 。 每 个 用 户 占 用 不 同 
的 子 载波 ， 通 过 子 载波 将 用 户 分 开 。OFDMA 的 引入 是 为 了 支持 移动 性 。 

为 了 进一步 提高 带宽 利用 率 ，802.16 还 引入 了 多 入 多 出 技术 MIMO。MIMO 是 通过 多 径 无 
线 信道 实现 的 ， 传 输 的 信息 流 经 过 空 时 编码 形成 六 个 子 信息 流 ， 由 N 个 天 线 发 射出 去 ， 经 过 空 
间 信 道 后 由 M 个 接收 天 线 接收 。 多 天 线 接收 机 利用 空 时 编码 处 理 功能 对 数据 流 进 行 分 离 和 解 
码 ， 从 而 实现 最 佳 的 处 理 。MIMO 系统 可 以 抗 多 径 衰减 ，OFDM 可 以 提高 频谱 利用 率 ， 两 者 适 
当 结 合 ， 可 以 在 不 增加 系统 带宽 的 情况 下 提供 更 高 的 数据 传输 速率 。 

802.16 系统 以 频 分 双 工 (FDD) 或 时 分 双 工 (TDD) 方式 工作 。FDD 需要 成 对 的 频率 ， 
TDD 则 不 需要 ， 而 且 可 以 灵活 地 实现 上 、 下 行 带宽 的 动态 调整 。802.16 还 规定 ， 终 端 可 以 采用 
频 分 半 双 工 CH-FDD) 方式 工作 ， 从 而 降低 了 终端 收发 器 的 成 本 。 

5.4.2 MAC 子 层 

802.16 MAC 层 提供 面向 连接 的 服务 ， 各 个 连接 通过 唯一 的 连接 标识 符 〈CID) 区 分 ,面向 

业务 的 汇聚 子 层 将 上 层 业 务 映射 成 连接 。MAC 层 定义 了 两 种 CS 子 层 ， 即 ATM CS 和 分 组 CS， 


前 者 提供 对 ATM 的 业务 支持 ， 后 者 提供 对 IEEE 802.3、IEEE 802.1q、IPv4 和 IPv6 等 基于 分 组 的 
业务 的 映射 。 由 于 目前 通信 网 络 中 主要 是 基于 了 人 P 的 分 组 业务 ， 所 以 WiMAX 论坛 仅 认 证 与 他 
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相关 的 IEEE 802.16 设备 。 
802.16 MAC 层 定义 了 完整 的 QoS 机 制 ,针对 每 个 连接 可 以 分 别 设置 不 同 的 QoS 参数 , 包 
括 速率 、 延 时 等 指标 。 为 了 更 好 地 控制 带宽 分 配 ，MAC 层 定 义 了 4 种 不 同 的 业务 。 
。 ” 非 请 求 的 带宽 分 配 业 务 (Unsolicited Grant Service，UGS ): 用 于 传输 周期 性 的 、 包 大 
小 固定 的 实时 数据 ， 其 典型 的 应 用 是 VoIP 电话 。 这 种 业务 一 经 申请 成 功 , 在 传输 过 程 
中 就 不 需要 再 去 申请 ， 以 排除 带宽 请 求 引 入 的 开销 。 
。 ”实时 轮 询 业 务 (real-time Polling Service，rtPS): 用 于 支持 周期 性 的 、 包 大 小 可 变 的 实 
时 业务 ,例如 MPEG 视频 业务 。rtPS 周期 性 地 轮 询 带 宽 请 求 ， 从 而 能 够 周期 地 改变 业 
务 带宽 。 这 种 服务 引入 了 请 求 开 销 ， 但 可 以 按 需求 动态 分 配 带宽 。 
。 非 实时 轮 询 业务 (non-real-time Polling Service，nrtPS): 用 于 支持 非 实 时 可 变速 率 业 
务 ， 例 如 高 带宽 的 FTP 应用， 需要 保持 最 低 数据 速率 。 对 这 种 业务 提供 的 轮 询 间 隔 更 
长 ， 或 者 进行 不 定期 的 轮 询 。 
e ”尽力 而 为 业务 (Best Effort Service，BE): 用 于 支持 非 实 时 性 、 无 任何 速率 和 时 延 要 求 
的 分 组 业务 ， 业 务 流 的 稳定 性 由 高 层 协议 保证 。 典 型 业务 是 Telnet 和 HTTP 服务 。 这 
种 业务 可 以 随时 提出 带宽 申请 ， 允 许 使 用 任何 类 型 的 竞争 和 捕 带 请 求 机 制 ， 但 是 不 对 
它们 进行 轮 询 请 求 。 
MAC 层 还 包含 安全 子 层 ， 支 持 认 证 、 加 密 等 安全 功能 ， 可 以 实现 安全 管理 。 
5.4.3 向 4G 迈进 


1. 802.16e 


802.16d 的 OFDM 调制 方式 采用 256 个 子 载波 ,OFDMA 调制 方式 采用 2048 个 子 载波 , 信 
号 带宽 在 1.25 一 20MHz 可 变 。 为 了 支持 移动 性 ，802.16e 对 物理 层 进 行 了 改进 ， 使 得 OFDMA 
可 支持 128、512、1024 和 2048 共 4 种 不 同 的 子 载波 数量 ， 但 子 载波 间隔 不 变 ， 信 和 号 带宽 与 子 载 
波 数量 成 正比 ， 这 种 技术 被 称 为 可 扩展 的 OFDMA (Scalable OFDMA)。 采 用 这 种 技术 ， 系 统 可 
以 在 移动 环境 中 灵活 地 适应 信道 带宽 的 变化 。 在 采用 20MHz 带宽 、64-QAM 调制 的 情况 下 ， 
传输 速率 可 达到 74.81Mbps。 

802.16e 对 MAC 层 的 改进 改变 了 各 个 功能 层 之 间 的 消息 传输 机 制 , 并 实现 了 快速 自动 请 求 
重 传 (ARQ) 和 资源 预约 功能 ， 以 降低 信道 时 延 的 影响 。 另 外 还 增加 了 针对 上 行 链 路 的 功率 、 
频率 和 时 隙 的 快速 调整 功能 ， 以 适应 快速 移动 的 要 求 。 

现在 的 IEEE 802.16 标准 是 一 种 无 线 城 域 网 技术 ， 与 其 他 的 无 线 接 入 技术 的 应 用 领域 和 服 
务 范 围 不 同 。 各 种 无 线 接 入 技术 互相 配合 ， 共 同 提供 了 从 个 域 网 到 广域网 的 各 种 无 线 宽带 接 入 
服务 ， 如 图 5-44 所 示 。 
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图 5-44 各 种 无 线 网 的 作用 范围 


2. WiMAX II 


WiMAX 的 进一步 发 展 是 与 其 他 B3G (Beyond 3G) 技术 融合 ， 成 为 IMT-Advanced 家 族 的 
成 员 之 一 。ITU-R 对 4G 标准 的 要 求 是 能 够 提供 基于 人 P 的 高 速 声音 、 数 据 和 流 式 多 媒体 服务 ， 
支持 的 数据 速率 至 少 是 100Mbps， 选 定 的 通信 技术 是 正 交 频 分 多 址 接 入 技术 OFDMA。 

最 初 候选 的 4G 标准 有 3 个 , 即 UMB (Ultra Mobile Broadband)、LTE (Long Term Evolution) 
和 WiMAXI (IEEE 802.16m)。 

超级 移动 宽带 UMB 是 由 高 通 公 司 为 首 的 3GPP2 组 织 推出 的 CDMA-2000 的 升级 版 EV-DO 
REV.C。UMB 的 最 高 下 载 速率 可 达到 288Mbps， 最 高 上 传 速率 可 达到 75Mbps， 支 持 的 终端 移 
动 速率 超过 300kmyh。 

长 期 演进 LTE (Long Term Evolution ) 是 沿 着 GSM 一 W-CDMA 一 HSPA 一 4G 路 线 发 展 的 技 
术 ， 是 由 以 欧洲 电信 为 首 的 3GPP 组 织 启动 的 新 技术 研发 项 目 。 和 UMB 一 样 ，LTE 也 采用 了 
OFDM/OFDMA 作为 物理 层 的 核心 技术 。 

2006 年 12 月 批准 的 802.16m 是 向 IMT-Advanced 迈进 的 研究 项 目 。 为 了 达到 4G 的 技术 要 
求 , IEEE 802.16m 的 下 行 峰值 速率 在 低速 移动 、 热 点 覆盖 条 件 下 可 以 达到 1Gbps, 在 高 速 移动 、 
广 域 覆 盖 条 件 下 可 以 达到 100Mbps。 为 了 向 前 兼容 ，802.16m 准备 对 802.16e 采用 的 OFDMA 
调制 方式 进行 增补 ， 进 一 步 提高 系统 吞吐 量 和 传输 速率 。 

2008 年 11 月 ， 高 通 公司 宣布 放弃 UMB 技术 。 鉴 于 IEEE 802.16e 已 跻身 于 3G 标准 行列 ， 
所 以 在 未 来 向 4G 迈进 时 代 就 形成 了 LTE-Advanced 与 IEEE 802.16m 竞争 的 格局 ， 它 们 采用 的 
关键 技术 有 许多 共同 之 处 ， 如 表 5-2 所 示 。 














第 5 章 无 线 通信 网 


表 5-2 LIE-Advanced 与 IEEE 802.16m 的 技术 比较 


LIE-Advanced 


信道 宽带 支持 1.25 一 20MHz 宽带 


IEEE 802.16m 
5 一 20MHZ 的 抗 状 带宽 ， 特 殊 情 况 下 可 
达 100MHZ 





峰值 速率 下 行 1Gbps， 上 行 S00Mbps 


静止 1Gbps， 移 动 100Mbps 





0 一 15knmh 〈 最 佳 性 能 )，0 一 120knmmh 〈 较 好 
移动 性 性 能 ) 

120 一 350kmmh (保持 连接 不 掉 线 ? 

传输 技术 与 
多 址 技术 
双 工 方式 FDD 和 TDD 融合 ，FDD 半 双 工 
调制 方式 QPSK、16QAM 和 64QAM 


编码 方式 以 Turbo 码 为 主 ，LDPC 编译 码 


下 行 OFDMA， 上 行 SC-FDMA 


基本 MIMO 模型 : 下 行 4X4， 上 行 2X4 天 


多 大 线 技术 线 ， 最 多 8X8 配置 


Chase 合并 与 增 量 宛 余 HARQ， 异 步 HARQ 
和 自 适应 HARQ 





纠 错 技术 


2013 年 底 ， 工 信 部 正式 向 三 大 运营 商 发 放 了 4G 牌照 


0 一 15km/h (最 佳 性 能 ), 0 一 120km/h ( 较 
好 性 能 
120 一 350kmmh 〈 保 持 连 接 不 掉 线 ) 


OFDMA 


FDD、TDD 和 FDD 半 双 工 

BPSK、 QPSK、16QAM 和 64QAM 

卷 积 码 、 卷 积 Turbo 码 和 低 密 度 奇偶 校 
验 码 

支持 MIMO 技术 (基站 支持 1、2、4、 
8 根 发 射 天 线 ， 终 端 支 持 1、2、4 根 发 
射 天 线 ) 和 AAS〔 自 适应 线 阵 ) 

Chase 合并 ， 异 步 HARQ 和 非 自 适应 
HARQ 


， 中 国 移动 、 中 国电 信和 中 国联 通 均 


获得 TD-LTE 牌照 ， 中 国 移动 获得 了 130MHz 的 频谱 资源 ， 远 高 于 中 国电 信和 中 国联 通 的 


40MHz， 各 家 运营 商 得 到 的 商用 频段 划分 如 下 : 
(1) 中 国 移动 : 1880 一 1900MHz、2320 一 2370MHz、 
(2) 中 国联 通 : 2300 一 2320MHz、2555 一 2375MHz。 
(3) 中 国电 信 : 2370 一 2390MHz、2635 一 26553MHz。 


2575~2635MHz。 


其 实 , 对 于 LIE 上、 下 行 信道 的 划分 可 以 使 用 时 分 多 路 (TDD) 技术 ,也 可 以 使 用 频 分 多 
路 (FDD) 技术 ， 欧 洲 运营 商 大 多 倾向 于 FDD-LTE。 中 国 移动 受 限于 3G 时 代 的 TD-SCDMA 


网 络 ， 最 初 就 明确 要 建设 TD-LTE 网 络 ， 现 在 正在 全 国 许 
而 中 国联 通 和 中 国电 信和 则 倾向 于 建设 FDD-LTE 网 络 。 中 
牌照 ， 将 考虑 向 中 国 移动 租用 网 络 ”。 





多 城市 大 规模 建设 TD-LTE 试验 网 ， 
国电 信和 曾经 表态 “如 果 获 得 TD-LTE 
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多 个 网 络 互相 连接 组 成 范围 更 大 的 网 络 叫 作 互联 网 (Internet)。 由 于 各 种 网 络 使 用 的 技术 
不 同 ， 所 以 要 实现 网 络 之 间 的 互 连 互通 还 要 解决 一 些 新 的 问题 。 例 如 ， 各 种 网 络 可 能 有 不 同 的 
寻 址 方案 、 不 同 的 分 组 长 度 、 不 同 的 超时 控制 、 不 同 的 差错 恢复 方法 、 不 同 的 路 由 选择 技术 以 
及 不 同 的 用 户 访问 控制 协议 等 。 另 外 ， 各 种 网 络 提供 的 服务 也 可 能 不 同 ， 有 的 是 面向 连接 的 ， 
有 的 是 无 连接 的 。 网 络 互 连 技术 就 是 要 在 不 改变 原来 的 网 络 体系 结构 的 前 提 下 ， 把 一 些 异 构 型 
的 网 络 互相 连接 构成 统一 的 通信 系统 ， 实 现 更 大 范围 的 资源 共享 。 本 章 首 先 概括 介绍 各 种 网 络 
互 连 设备 ， 然 后 讨论 网 络 互 连 的 基本 原理 和 关键 技术 ， 最 后 介绍 Intemet 协议 及 其 提供 的 网 络 
服务 。 


6.1 网 络 互 连 设 备 


组 成 因特网 的 各 个 网 络 叫做 子 网 ,用 于 连接 子 网 的 设备 叫 作 中 间 系 统 (Intemmediate System， 
IS), 它 的 主要 作用 是 协调 各 个 网 络 的 工作 ,使 得 跨 网 络 的 通信 得 以 实现 。 中 间 系 统 可 以 是 一 个 
单独 的 设备 ， 也 可 以 是 一 个 网 络 。 这 一 节 介 绍 各 种 网 络 互 连 设备 的 工作 原理 。 

网 络 互 连 设备 的 作用 是 连接 不 同 的 网 络 。 这 里 用 网 段 专 指 不 包含 任何 互 连 设备 的 网 络 。 网 
络 互 连 设 备 可 以 根据 它们 工作 的 协议 层 进行 分 类 : 中 继 器 〈Repeater) 工作 于 物理 层 ， 网 桥 
(Bridge) 和 交换 机 〈Switch) 工作 于 数据 链 路 层 ;路 由 器 (Router) 工作 于 网 络 层 ， 而 网 关 
(Gateway) 工作 于 网 络 层 以 上 的 协议 层 。 这 种 根据 OSI 协议 层 的 分 类 只 是 概念 上 的 ， 在 实际 
的 网 络 互 连 产品 中 可 能 是 几 种 功能 的 组 合 ， 从 而 可 以 提供 更 复杂 的 网 络 互 连 服务 。 


6.1.1 中 继 器 


由 于 传输 线路 噪音 的 影响 ， 承 载 信 息 的 数字 信和 号 或 模拟 信号 只 能 传输 有 限 的 距离 。 例 如 在 
802.3 中 ,收发 器 芯片 的 驱动 能 力 只 有 500m。 虽 然 MAC 协议 的 定时 特性 〈r 值 的 大 小 ) 允许 电 
缆 长 达 2.5km， 但 是 单个 电缆 段 却 不 允许 做 得 那么 长 。 在 线路 中 间 插 入 放大 器 的 办 法 是 不 可 取 
的 ， 因 为 伴随 信号 的 噪音 也 被 放大 了 。 在 这 种 情况 下 ， 用 中 继 器 连接 两 个 网 段 可 以 延长 信号 的 
传输 距离 。 中 继 器 的 功能 是 对 接收 信号 进行 再 生 和 发 送 。 中 继 器 不 解释 也 不 改变 接收 到 的 数字 
信息 ， 它 只 是 从 接收 信号 中 分 离 出 数字 数据 ， 存 储 起 来 ， 然 后 重新 构造 它 并 转发 出 去 。 再 生 的 
信号 与 接收 信号 完全 相同 ， 并 可 以 沿 着 另外 的 网 段 传输 到 远 端 。 中 继 器 的 概念 和 工作 原理 如 图 
6-1 所 示 。 
理论 上 说 ,可 以 用 中 继 器 把 网 络 延 长 到 任意 长 的 传输 距离 ， 然 而 很 多 网 络 上 都 限制 了 在 一 
对 工作 站 之 间 加 入 中 继 器 的 数目 。 例 如 ， 在 以 太 网 中 限制 最 多 使 用 4 个 中 继 器 ， 即 最 多 由 5 个 
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网 段 组 成 。 
应 用 层 应 用 层 
表示 层 表示 层 
会 话 层 会 话 层 中 
传输 层 传输 层 0 一] 
网 络 层 网 络 层 网 络 段 1 线 志 
数据 链 路 层 数据 链 路 层 ~ 
网 络 段 2 
物理 层 | 物理 层 | 物理 层 物理 层 
站 
(a) 概念 模型 (b) 工作 原理 


图 6-1 中 继 器 

中 继 器 工作 于 物理 层 ， 只 是 起 到 扩展 传输 距离 的 作用 ， 对 高 层 协议 是 透明 的 。 实 际 上 ， 通 
过 中 继 器 连接 起 来 的 网 络 相 当 于 同一 条 电缆 组 成 的 更 大 的 网 络 。 中 继 器 也 能 把 不 同 传输 介质 
(例如 10Base 5 和 10Base 2) 的 网 络 连 在 一 起 ， 多 用 在 数据 链 路 层 以 上 相同 的 局 域 网 的 互 连 中 。 
这 种 设备 安装 简单 ， 使 用 方便 ， 并 能 保持 原来 的 传输 速度 。 

集线器 的 工作 原理 基本 上 与 中 继 器 相同 。 简 单 地 说 ， 集 线 器 就 是 一 个 多 端口 中 继 器 ， 它 把 
一 个 端口 上 收 到 的 数据 广播 发 送 到 其 他 所 有 端口 上 。 
6.1.2 网 桥 


类 似 于 中 继 器 ， 网 桥 也 用 于 连接 两 个 局 域 网 段 ， 但 它 工 作 于 数据 链 路 层 。 网 桥 要 分 析 帧 地 





















































































































































丝 字 段 ， 以 决定 是 否 把 收 到 的 帧 转发 到 另 一 个 网 段 上 。 网 桥 的 概念 模型 和 工作 原理 如 图 6-2 
所 示 。 
201 202 
站 站 
应 用 层 应 用 层 
| 表示 层 | [表示 层 | [Dia | Faxzo[ 数据 ] ~ 
三 | | 会话 层 | 网 络 段 1 
会 话 层 会 话 层 网 标 
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图 6-2 网 桥 
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在 图 6-2 (b) 中， 网 桥 检查 帧 的 源 地 址 和 目标 地 址 ， 如 果 目 标 地 址 和 源 地 址 不 在 同一 个 网 
段 上 ， 就 把 帧 转发 到 另 一 个 网 段 上 ， 若 两 个 地 址 在 同一 个 网 段 上 ， 则 不 转发 ， 所 以 网 桥 能 起 到 
过 滤 帧 的 作用 。 网 桥 的 帧 过 滤 特 性 很 有 用 ， 当 一 个 网 络 由 于 负载 很 重 而 性 能 下 降 时 可 以 用 网 桥 
把 它 分 成 两 个 段 ， 并 使 得 段 间 的 通信 量 保持 最 小 。 例 如 ， 把 分 布 在 两 层 楼 上 的 网 络 分 成 每 层 一 
个 网 段 ， 段 中 间 用 网 桥 相连 。 这 样 的 配置 可 以 缓解 网 络 通 信 繁忙 的 程度 ， 提 高 通信 效率 。 同 时 
由 于 网 桥 的 隔离 作用 ， 一 个 网 段 上 的 故障 不 会 影响 到 另 一 个 网 段 ， 从 而 提高 了 网 络 的 可 靠 性 。 

网 桥 可 用 于 运行 相同 高 层 协议 的 设备 间 的 通信 , 采用 不 同 高 层 协议 的 网 络 不 能 通过 网 桥 互 
相通 信 。 另 外 ， 网 桥 也 能 连接 不 同 传输 介质 的 网 络 ， 例 如 可 实现 同 轴 电 绕 以 太 网 与 双 绞 线 以 太 
网 之 间 的 互 连 ， 或 是 以 太 网 与 令 牌 环 网 之 间 的 互 连 。 确 切 地 说 ， 网 桥 工作 于 MAC 子 层 ， 只 要 
两 个 网 络 MAC 子 层 以 上 的 协议 相同 ， 都 可 以 用 网 桥 互 连 。 

以 太 网 中 广泛 使 用 的 交换 机 是 一 种 多 端口 网 桥 ， 每 一 个 端口 都 可 以 连接 一 个 局 域 网 ， 关 于 
交换 机 工作 原理 的 详细 介绍 参见 第 10 章 。 


6.1.3 ”路 由 器 


路 由 器 的 概念 模型 和 工作 原理 如 图 6-3 所 示 ， 可 以 看 出 ， 路 由 器 工作 于 网 络 层 。 通 常 把 网 
络 层 地 址 叫 作风 辑 地 址 ， 把 数据 链 路 层 地 址 叫 作物 理 地 址 。 物 理 地 址 通常 是 由 硬件 制造 商 指 定 
的 ,例如 每 一 块 以 太 网 卡 都 有 一 个 48 位 的 站 地 址 。 这 种 地 址 由 IEEE 管理 (给 每 个 网 卡 制造 商 
指定 唯一 的 前 3 个 字 节 值 )， 任 何 两 个 网 卡 不 会 有 相同 的 物理 地 址 。 罗 辑 地 址 是 由 网 络 管理 员 
在 组 网 配置 时 指定 的 ， 这 种 地 址 可 以 按照 网 络 的 组 织 结构 以 及 每 个 工作 站 的 用 途 灵 活 设置 ， 而 
且 可 以 根据 需要 改变 。 浊 辑 地 址 也 叫 软件 地 址 ， 用 于 网 络 层 寻 址 。 例 如 在 图 6-3 (b) 中 ， 以 太 
网 A 中 硬件 地 址 为 101 的 工作 站 的 软件 地 址 为 A.05， 这 种 用 “.” 记 号 表示 地 址 的 方法 既 表 示 
了 工作 站 所 在 的 网 络 ， 也 标识 了 网 络 中 唯一 的 工作 站 。 

路 由 器 根据 网 络 逻辑 地 址 在 互 连 的 子 网 之 间 传递 分 组 。 一 个 子 网 可 能 对 应 于 一 个 物理 网 
段 ， 也 可 能 对 应 于 几 个 物理 网 段 。 路 由 器 适合 于 连接 复杂 的 大 型 网 络 ， 它 工作 于 网 络 层 ， 因 而 
可 以 用 于 连接 下 面 三 层 执行 不 同 协 议 的 网 络 ， 协 议 的 转换 由 路 由 器 完成 ， 从 而 消除 了 网 络 层 协 
议 之 间 的 差别 ， 通 过 路 由 器 连接 的 子 网 在 网 络 层 之 上 必须 执行 相同 的 协议 。 对 于 路 由 器 如 何 协 
调 网 络 协议 之 间 的 差别 ， 如 何 进 行路 由 选择 以 及 如 何在 通信 子 网 之 间 转 发 分 组 ， 将 在 第 10 章 
中 详细 讨论 。 

由 于 路 由 器 工作 于 网 络 层 ， 它 处 理 的 信息 量 比 网 桥 要 多 ， 因 此 处 理 速度 比 网 桥 慢 。 但 路 由 
器 的 互 连 能 力 更 强 ， 可 以 执行 复杂 的 路 由 选择 算法 。 在 具体 的 网 络 互 连 中 ， 采 用 路 由 器 还 是 采 
用 网 桥 ， 取 决 于 网 络 管理 的 需要 和 具体 的 网 络 环境 。 

有 的 网 桥 制 造 商 在 网 桥 上 增加 了 一 些 智 能 设备 ， 从 而 可 以 进行 复杂 的 路 由 选择 ， 这 种 互 连 
设备 叫 作 路 由 桥 (Routing Bridge)。 路 由 桥 虽 然 能 够 运行 路 由 选择 算法 ， 甚 至 能 够 根据 安全 性 
要 求 决定 是 否 转发 数据 帧 ， 但 由 于 它 不 涉及 第 三 层 协议 ， 所 以 还 是 属于 工作 在 数据 链 路 层 的 网 






































桥 设备 ， 它 不 能 像 路 由 器 那样 用 于 连接 复杂 的 广域网 络 。 
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6.1.4 网 关 


网 关 是 最 复杂 的 网 络 互 连 设备 ， 它 用 于 连接 网 络 层 之 上 执行 不 同 协议 的 子 网 ， 组 成 异 构 型 
的 因特网 。 网 关 能 对 互 不 兼容 的 高 层 协议 进行 转换 , 例如 在 图 6-4 中 , 使 用 Novell 公司 NetWare 


的 PC 工作 站 和 SNA 网 络 互 连 ， 两 者 不 仅 硬件 不 同 ， 而 且 整 个 数据 结构 和 使 用 的 协议 都 不 


可 


为 了 实现 异 构 型 设备 之 间 的 通信 ， 网 关 要 对 不 同 的 传输 层 、 会 话 层 、 表 示 层 和 应 用 层 协议 进行 
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(b) 工作 原理 
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网 关 可 以 做 成 单独 的 箱 级 产品 ， 也 可 以 做 成 电路 板 并 配合 网 关 软 件 用 于 增强 已 有 的 设备 ， 
使 其 具有 协议 转换 的 功能 。 箱 级 产品 性 能 好 但 价格 昂贵 ， 板 级 产品 可 以 是 专用 的 也 可 以 是 非 专 
用 的 。 例 如 ，NetWare 5250 网 关 软 件 可 加 载 到 LAN 的 工作 站 上 ， 这 样 该 工作 站 就 成 为 网 关 服 
务 器 ， 如 图 6-5 所 示 。 网 关 服 务 器 中 除 安装 通常 的 LAN 网 卡 (用 于 连接 局 域 网 ) 外 ， 还 必须 安 
装 一 块 Novell 同步 PC 网 卡 〈 用 于 连接 远程 SDLC 数据 传输 线路 )。 在 网 关 软 件 的 支持 下 ， 网 
关 服 务 器 通过 通信 线路 与 远程 IBM 主机 (AS/400 或 Systemy/3X) 相连 。 如 果 LAN 上 的 工作 站 
运行 NetWare 5250 工作 站 软件 ， 就 可 以 仿真 IBM 5250 终端 ， 也 可 以 实现 主机 和 终端 间 的 文件 
传递 。 这 种 网 关 软 件 提供 专用 和 非 专用 两 种 操作 方式 。 在 非 专用 方式 下 ， 运 行 网 关 软 件 的 计算 
机 既 可 作为 网 关 服务 器 ， 又 可 作为 NetWare 5250 工作 站 。 








同 轴 电 费 


图 6-5 NetWare 网 关 


由 于 工作 复杂 ， 因 而 用 网 关 因特网 络 时 效率 比较 低 ， 而 且 透 明 性 不 好 ， 往 往 用 于 针对 某 种 
特殊 用 途 的 专用 连接 。 

最 后 ， 值 得 一 提 的 是 ， 人 们 的 习惯 用 语 有 些 模糊 不 清 ， 并 不 像 以 上 根据 网 络 协议 层 的 概念 
明确 划分 各 种 网 络 互 连 设 备 。 有 时 并 不 区 分 路 由 器 和 网 关 ， 而 是 把 在 网 络 层 及 其 以 上 进行 协议 
转换 的 互 连 设 备 统称 为 网 关 。 另 外 ， 各 种 网 络 产品 提供 的 互 连 服务 多 种 多 样 ， 因 此 ， 很 难 单纯 
地 按 名 称 来 识别 某 种 产品 的 功能 。 有 了 以 上 关于 网 络 互 连 设备 的 概念 ， 对 读者 了 解 各 种 互 连 设 
备 的 功能 无 疑 是 有 益 的 。 


6.2 广域网 互 连 


广域网 的 互 连 一 般 采用 在 网 络 层 进行 协议 转换 的 办 法 实现 。 这 里 使 用 的 互 连 设备 叫 作 网 
关 ， 更 确切 地 说 ， 是 路 由 器 。 

下 面 介绍 OSI 网 络 层 内 部 的 组 织 , 然后 分 别 讨论 ISO 标准 化 了 的 两 种 网 络 互 连 方法 ， 即 面 
向 连接 的 互 连 方式 和 无 连接 的 互 连 方式 。 
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6.2.1 OSI 网 络 层 内 部 结构 


为 了 实现 类 型 不 同 的 子 网 互 连 ，OSI 把 网 络 层 划分 为 3 个 子 层 ， 如 图 6-6 所 示 。 子 网 访问 
子 层 对 应 于 实际 网 络 的 第 三 层 ， 它 可 能 符合 也 可 能 不 符合 OSI 的 网 络 层 标准 。 如 果 两 个 实际 网 
络 的 子 网 访问 子 层 不 同 ， 则 它们 不 能 简单 地 互 连 。 

子 网 相关 子 层 的 作用 是 增强 实际 网 络 的 服务 ， 使 其 接近 于 OSI 的 网 络 层 服务 ， 两 个 不 同类 
型 的 子 网 经 过 分 别 增强 后 可 达到 相同 的 服务 水 准 。 

子 网 无 关子 层 提供 标准 的 OSI 网 络 服务 , 它 利 用 子 网 相关 于 层 提 供 的 功能 , 按照 OSI 网 络 
层 协 议 实现 两 个 子 网 间 的 互 连 。 

这 种 子 层 结 构 的 划分 并 不 是 强制 性 的 ， 理 论 上 可 以 制定 出 一 种 网 络 层 协议 ， 这 种 协议 可 一 
步 到 位 ， 提 供 所 有 的 OSI 网 络 服务 ， 但 目前 还 没有 这 样 的 协议 出 现 。 各 种 实际 网 络 总 是 存在 一 
些 差 别 ， 因 而 实现 互 连 时 要 采用 一 些 增强 措施 。 当 然 ， 有 时 也 可 能 要 “削弱 ”实际 的 网 络 层 服 
务 ， 例 如 网 际 互 连 采用 数据 报 服务 ， 对 提供 虚 电 路 服务 的 子 网 则 要 削弱 其 功能 ， 即 在 虚 电 路 服 
务 之 上 实现 数据 报 服务 。 以 前 已 经 说 过 ， 这 种 方法 很 不 经 济 ， 然 而 却 是 不 得 已 而 为 之 。 网 络 层 
的 3 个 子 层 结构 对 应 于 网 络 互 连 的 3 种 策略 ， 下 面 分 别 讨论 。 

第 一 种 策略 建立 在 子 网 支持 所 有 OSI 网 络 服务 的 假设 上 ， 这 样 的 子 网 不 需 增强 ,在 网 络 层 
可 直接 相连 ， 并 提供 需要 的 网 络 服务 。 

第 二 种 策略 是 分 别 增强 实际 网 络 的 功能 , 以 便 提供 同样 的 网 络 服务 , 这 种 互 连 方法 如 图 6-7 所 示 。 






























































传输 层 传输 层 
网 络 增 
网 络 增 强 子 层 
强 子 层 
子 网 无 关子 层 
子 网 相关 子 层 网 络 层 全 全 
子 网 访问 子 层 子 网 A TIS 子 网 B 
图 6-6 网 络 层 的 内 部 结构 图 6-7 用 分 别 增强 法 进行 网 络 互 连 


该 图 中 的 中 间 系 统 在 左边 连接 子 网 A， 两 个 子 层 分 别 运 行 子 网 访问 协议 (SubNetwork 
Access Protocol，SNACP) A 和 子 网 相关 的 汇聚 协议 〈SubNetwork Dependent Convergence 
Protocol，SNDCP) A。SNACP A 是 与 实际 子 网 A 相 联系 的 协议 ，SNDCP A 是 对 子 网 A 的 增 
强 协议 。 中 间 系 统 右边 连接 子 网 B，SNACPB 和 SNDCP B 与 左边 的 对 应 协议 类 似 。 经 过 不 同 
的 增强 后 ， 子 网 A 和 B 都 提供 相同 的 OSI 网 络 层 服 务 ， 中 间 系 统 提供 路 由 选择 和 中 继 功 能 。 
这 种 互 连 方法 对 应 于 面向 连接 的 网 际 互 连 。 

第 三 种 互 连 策略 是 采用 统一 的 因特网 协议 ， 这 种 互 连 方法 如 图 6-8 所 示 。 
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网 络 层 





子 网 访问 子 层 A| 子 网 访问 子 层 B 





图 6-8 采用 因特网 协议 进行 网 络 互 连 





该 图 中 的 子 网 无 关 的 会 聚 协议 (SubNetwork Independent Convergence Protocol，SNICP) 就 
是 一 种 网 际 协议 ， 它 对 每 一 个 子 网 的 要 求 最 小 ， 因 而 可 能 覆盖 了 两 边 子 网 的 部 分 功能 。 这 虽然 


有 些 浪费 ， 但 不 失 为 一 种 解决 问题 的 办 法 。 通 常 ，SNICP 采用 无 连接 的 网 络 协议 。 
6.2.2 面向 连接 的 网 际 互 连 








实现 面向 连接 的 网 际 互 连 的 前 提 是 子 网 提供 面向 连接 的 服务 , 这 样 可 以 用 路 








或 多 个 子 网 ， 路 由 器 是 每 个 子 网 中 的 DTE。 当 不 同 子 网 中 的 DTE 要 进行 通信 时 ， 


器 连接 两 个 
就 通过 路 由 


器 建立 一 条 跨 网 络 的 虚 电 路 。 这 种 网 际 虚 电 路 是 通过 路 由 器 把 两 个 子 网 中 的 虚 电 路 级 连 起 来 实 


现 的 。 图 6-9 所 示 为 用 路 由 器 连接 一 个 X.25 分 组 交换 网 和 一 个 局 域 网 的 例子 。 
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[HT 数据] 网 络 层 服务 数据 单元 
PH | TH | 数据 X25 网 络 层 分 组 
[HTPHT THT 数据 [| LT ]LAPB 帧 




















LLCH | PH | TH [数据 ] LAN LLC 帧 














[MAcH [FrcH | PH | TH [数据 | MACH | LAN MAC 帧 
TH- 传 输 头 :IPH-IP 头 :PH-X.25 分 组 头 ;LH-LAP-B 帧 头 ;LT-LAP-B 帧 尾 ; 
LLCH-LAN LLC 帧 头 ; MACH-LAN MAC 帧 头 ; MACT-LAN MAC 帧 尾 


图 6-9 X25 因特网 的 例子 
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1. 网 际 虚 电 路 


假定 图 6-9 中 的 主机 A 希望 与 主机 B 建立 逻辑 连接 。 当 主机 A 的 传输 层 〈TP) 发 出 建立 
虚 电 路 的 请 求 时 ,把 B 的 网 络 地 址 (网 络 , 主 机 ) 传 递 给 网 络 层 。 在 A 的 网 络 层 发 出 的 Call Request 
分 组 中 ， 这 个 网 络 地 址 被 放 在 特别 业务 字段 中 ， 叫 作 被 呼 方 扩展 地 址 。 在 分 组 头 的 被 呼 方 地 址 
字段 中 包含 的 是 路 由 器 与 分 组 交换 网 的 子 网 连接 地 址 (注意 ， 路 由 器 对 每 个 网 络 分 别 有 一 个 子 
网 连接 地 址 )。 这 样 ， 利 用 Call Request 分 组 头 中 的 信息 ，X.25 协议 可 以 建立 一 条 从 主机 A 到 
路 由 器 的 逻辑 连接 。 

当 路 由 器 收 到 主机 A 的 呼 入 请 求 (Incoming Call) 分 组 时 ， 路 由 器 并 不 能 立即 决定 是 否 接 
受 这 个 请 求 ， 它 必须 根据 特别 业务 字段 中 的 被 呼 方 扩展 地 址 把 连接 请 求 传递 给 局 域 网 中 的 主机 
B。 路 由 器 自动 构造 一 个 新 的 Call Request 分 组 ， 这 个 分 组 的 被 呼 方 地 址 字段 包含 着 主机 B 的 
子 网 连接 地 址 。 假如 主机 B 接受 了 路 由 器 发 出 的 连接 请 求 , 路 由 器 才 可 以 向 主机 A 发 回 呼叫 接 
收 分 组 ， 于 是 两 个 网 络 之 间 分 别 建立 了 一 条 网 际 虚 电路 。 


2. 数据 传输 


当 网 际 虚 电 路 建立 后 ， 路 由 器 就 完成 了 两 个 虚 电 路 号 之 间 的 映像 功能 ， 并 把 从 和 .25 网 络 
来 的 数据 分 组 转发 到 局 域 网 中 对 应 的 虚 电 路 上 去 ， 或 者 进行 相反 方向 的 转发 。 在 网 际 虚 电 路 的 
不 同 部 位 传送 的 分 组 和 帧 的 组 成 如 图 6-9 所 示 。 

路 由 器 可 能 还 要 完成 分 段 和 重 装配 功能 。 如 果 互 连 的 两 个 子 网 的 最 大 分 组 长 度 不 同 ， 路 由 
器 可 以 把 大 的 分 组 划分 成 完备 分 组 序列 ， 使 其 可 通过 最 大 分 组 长 度 较 小 的 子 网 ， 也 可 以 把 完备 
分 组 序列 重 装配 成 大 的 分 组 ， 以 便 在 分 组 长 度 较 大 的 子 网 上 提高 传输 效率 。 


3. X.75 网 关 





图 6-9 中 的 路 由 器 也 叫 X.25 网 关 ， 它 执行 X.25 协议 ， 从 而 实现 两 个 子 网 的 互 连 。 这 种 网 
关 (或 路 由 器 ) 可 以 安装 在 任何 一 个 子 网 中 ， 由 两 个 网 络 的 所 有 者 共同 管理 。 

在 广域网 互 连 时 ， 共 同 营运 一 个 网 关 可 能 在 管理 策略 或 经 济 利益 方面 无 法 协调 。 那 么 可 以 
把 网 关 一 分 为 二 ， 形 成 两 个 半 网 关 。 半 网 关 作为 它 所 属 的 子 网 中 的 DTE， 两 个 半 网 关 之 间 执行 
X.75 协议 ， 如 图 6-10 所 示 。 

图 中 半 网 关 G 在 其 所 属 的 子 网 中 起 着 X.25 主机 的 作用 ， 左 边 的 G1 对 应 于 图 6-10 中 路 由 
器 的 左 半边 ， 而 G2 对 应 于 路 由 器 的 右 半 边 。 不 仅 如 此 ，G1 和 G2 之 间 按 X.75 协议 相互 作用 ， 
而 不 是 像 路 由 器 那样 仅仅 实现 分 组 的 转发 和 地 址 变换 功能 。 
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X.25 X.75 X25 


图 6-10 X.75 网 关 









































X.75 建议 与 X.25 建议 兼容 ， 能 实现 X.25 建议 的 全 部 功能 。X.75 分 组 格式 是 X.25 分 组 格 
式 的 扩充 ， 主 要 是 增加 了 网 络 控制 字段 ， 从 而 用 户 可 使 用 更 多 的 特别 业务 。 


6.2.3 ”无 连接 的 网 际 互 连 


因特网 协议 (Internet Protocol，IP) 是 为 ARPAnet 研制 的 网 际 数据 报 协议 ， 后 来 ISO 以 此 
为 蓝本 开发 了 无 连接 的 网 络 协议 (ConnectionLess Network Protocol，CLNP)。 卫 与 CLNP 的 功 
能 十 分 相似 ， 差 别 只 在 于 个 别 细节 和 分 组 格式 不 同 。 本 小 节 讨论 因特网 协议 的 特点 ， 虽 然 在 叙 
述 中 只 提 到 于， 但 是 讨论 的 技术 对 两 者 都 是 适用 的 。 

事实 上 , 一 些 网 络 经 过 网 关 互相 连接 的 情况 类 似 于 分 组 交换 网 内 部 的 组 织 , 图 6-11 是 分 组 
交换 网 和 因特网 对 比 的 例子 。 因 特 网 中 的 网 关 G1、G2 和 G3 分 别 对 应 于 分 组 交换 网 中 的 交换 
节点 S1、S2 和 S3, 而 因特网 中 的 子 网 N1、N2 和 N3 分 别 对 应 于 分 组 交换 网 中 的 传输 链 路 T1、 
T2 和 T3。 网 关 起 到 了 分 组 交换 的 作用 ， 通 过 与 它 相连 的 网 络 把 分 组 从 源 端 Hl 传送 到 目标 端 
H2， 或 者 相反 。 






































(a) 分 组 交换 网 内 部 结构 (b) 因特网 的 结构 
图 6-11 因特网 和 网 络 的 对 比 
图 6-12 中 给 出 了 利用 卫 协议 把 数据 报 从 X.25 分 组 交换 网 中 的 主机 A 传送 到 局 域 网 中 的 


主机 B 的 操作 过 程 。 路 由 器 连接 两 个 子 网 并 执行 协议 的 转换 。 在 主机 A 中 ，TCP 送 来 的 数据 
经 过 了 正 协议 包装 成 网 际 数据 报 ， 其 中 的 下头 中 包含 着 主机 B 的 网 络 地 址 。 网 际 数据 报 在 X.25 
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网 络 中 传播 时 经 过 多 个 交换 节点 ， 最 后 到 达 路 由 器 。 路 由 器 首先 把 X.25 分 组 向 上 层 递 交 ， 恒 


、 帧 尾 暴 露出 P 头 ， 然 后 根据 人 P 头 中 的 地 址 把 数据 报 下 载 到 局 域 网 中 ， 最 后 传送 到 主 





机 B。 更 一 般 的 情况 是 中 间 要 经 过 多 个 路 由 器 , 每 个 路 由 器 都 根据 他 头 中 的 网 络 地 址 决定 转发 


的 方向 


。 当 转发 的 下 一 个 网 络 的 最 大 分 组 长 度 小 于 当前 的 数据 报 长 度 时 ， 路 由 器 必须 将 数据 报 


分 段 ， 形 成 多 个 短 数据 报 ， 然 后 按 一 定 的 顺序 把 它们 转发 出 去 。 在 目标 端 ， 短 数据 报 经 过 下 
协议 实体 排序 ， 组 装 成 原来 的 数据 字段 再 提交 给 上 层 。 
















































































主机 A DCEX DCEY 路 由 器 主机 B 
TCP TCP 
Pp 了 
X25-3 X25-3 ]¥ ss LLC 
X25-2 X25-2 | 交 | X252 MAC 
X.25-1 X25-1 | 换 | x251 | | PHY 
LAN 
[TH 数据] ”网络 层 服务 数据 单元 
PH | TH 数据 ] ”网际 数据 报 
[Pa | Ia | TH 数据 X25 网 络 层 分 组 
LH | PH IPH | TH | 数据 | LT |]LAPB 帧 














LLCH | IPH | TH | 数据 LAN 逻辑 链 路 控制 子 层 帧 


MACH [LLCHT IPH | TH | 数据 | MACT |]LAN 介 质 访问 子 层 由 
TH- 传 输 头 ;IPHLIP 头 ; PHX.25 分 组 头 ;LH-LAP-B 帧 头 ;: LT-LAP.B 帧 尾 ; 
LLCHELAN LLC 帧 头 MACH-LAN MAC 帧 头 ;MACT-LAN MAC 帧 尾 


图 6-12 网 际 协议 的 操作 过 程 举 例 























实际 上 ， 网 际 协议 要 解决 的 问题 与 网 络 层 协议 是 类 似 的 。 在 网 际 层 提供 路 由 信息 的 手段 仍 


由 器 地 














表 。 每 个 站 或 路 由 器 中 都 有 一 个 网 际 路 由 表 ， 表 的 每 一 行 说 明 与 一 个 目标 站 对 应 的 路 














中。 网 际 地 址 通常 采用 “网 络 主 机 ”的 形式 ， 其 中 ， 网 络 部 分 是 子 网 的 地 址 编码 ， 主 机 


部 分 是 子 网 中 主机 的 地 址 编码 。 


图 





6-13 所 示 为 一 个 实际 的 路 由 表 。 路 由 表 中 的 目标 一 栏 记 录 的 是 目标 网 络 号 ， 而 不 是 主 





机 的 网 络 地 址 ， 这 样 可 以 大 大 减少 路 由 表 的 行 数 。 同 时 ， 路 由 表 中 也 不 记录 到 达 目 标的 延迟 时 
间 ， 而 代 之 以 跳 步 数 ， 即 经 过 的 路 由 器 个 数 。 据 此 ，R3 如 果 收 到 一 个 目标 地 址 为 50.117.102.3 的 数 
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据 报 ， 则 可 根据 路 由 表 转 发 到 地 址 为 40.0.0.2 的 路 由 器 R2， 再 通过 R4 转发 到 50.0.0.0 网 络 中 。 





目标 主机 网 络 号 转发 路 径 
10.0.0.0 直接 转发 
20.0.0.0 直接 转发 


30.0.0.0 


30.0.0.0 40.0.0.2 
40.0.0.0 直接 转发 
50.0.0.0 40.0.0.2 


(b) R3 的 路 由 表 
图 6-13 因特网 中 的 路 由 表 





路 由 表 可 以 是 静态 的 或 动态 的 。 静态 路 由 表 也 提供 可 选择 的 第 二 、 第 三 最 佳 路 由 。 动态 路 
由 表 在 应 付 网 络 的 失效 和 拥挤 方面 更 灵活 。 在 国际 因特网 中 ， 当 一 个 路 由 器 关机 时 ， 与 该 路 由 
器 相 邻 的 路 由 器 和 主机 都 发 出 状态 报告 ， 使 别 的 路 由 器 或 主机 修改 它们 的 路 由 表 。 对 拥挤 路 段 
也 可 以 同样 处 理 。 在 因特网 环境 下 ， 各 个 子 网 〈 可 能 是 远程 网 或 局 域 网 ) 的 容量 差别 很 大 ， 更 
容易 发 生 拥挤 ， 因 而 更 要 发 挥动 态 路 由 的 优势 。 

更 复杂 的 路 由 表 还 可 支持 安全 和 优先 服务 。 例 如 ， 有 的 网 络 从 安全 角度 考虑 不 适宜 处 理 某 
些 数据 ， 则 路 由 表 可 以 控制 不 要 把 这 类 数据 转发 到 不 安全 的 网 络 中 去 。 

选择 路 由 的 另外 一 种 技术 是 源 路 由 法 ， 即 源 端 在 数据 报 中 列 出 要 经 过 的 一 系列 路 由 器 。 这 
种 方法 也 可 以 提供 安全 服务 。 

路 由 记录 服务 是 一 种 与 路 由 选择 有 关 的 特殊 服务 。 数 据 报 经 过 的 每 一 个 路 由 器 都 把 自己 的 


地 址 加 入 其 





Ph， 这 样 ， 目 标 端 就 可 以 知道 该 数据 报 的 旅行 轨迹 。 在 进行 网 络 测试 或 查 错时 这 个 
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服务 很 有 用 。 
6.3 IP 协议 


Internet 是 今天 使 用 最 广泛 的 网 络 。 因 特 网 中 的 主要 协议 是 TCP 和 卫 ， 所 以 ，IPtermet 协议 
也 叫 TCP/IP 协议 簇 。 这 些 协议 可 划分 为 4 个 层次 ， 它 们 与 OSIURM 的 对 应 关系 如 表 6-1 所 示 。 
由 于 ARPAnet 的 设计 者 注重 的 是 网 络 互 连 ， 允许 通信 子 网 采用 已 有 的 或 将 来 的 各 种 协议 , 所 以 
这 个 层次 结构 中 没有 提供 网 络 访 问 层 的 协议 。 实 际 上 ，TCP/IP 协议 可 以 通过 网 络 访问 层 连接 到 
任何 网 络 上 ， 例 如 X.25 分 组 交换 网 或 IFEE 802 局 域 网 。 
表 6-1 TCP/IP 协议 簇 与 OSVRM 的 比较 
OSI TCP/IP 
6 | A | 6 
4 人 
二 
2 
1 





网 络 互 连 导 
数据 链 路 导 
| 物 形 | 1 | 网络 访问 导 


与 OSVRM 分 层 的 原则 不 同 ， TCP/IP 协议 簇 允许 同 层 的 协议 实体 间 互 相 调 用 ， 从 而 完成 复 
杂 的 控制 功能 ， 还 允许 上 层 过 程 直接 调用 不 相 邻 的 下 层 过 程 ， 甚 至 在 有 些 高 层 协议 中 控制 信息 
和 数据 分 别传 输 ， 而 不 是 共享 同一 个 协议 数据 单元 。 在 下 面具 体 的 讨论 中 读者 将 看 到 这 些 特点 
的 表现 。 图 6-14 所 示 为 主要 协议 之 间 的 调用 关系 。 


























































































































BGP HTTP 
SMTP TELNET| | FTP SNMP TFTP 
TCP | UDP 
OSPF RIP [L_ICMP 
Pp ARP RARP 
任何 局 域 网 (网络 访问 层 ) 











图 6-14 Internet 的 主要 协议 
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卫 协议 是 Intemet 中 的 网 络 层 协 议 ,作为 提供 无 连接 服务 的 例子 , 在 这 里 介绍 人 P 协议 的 基 
本 操作 和 协议 数据 单元 的 格式 。 


6.3.1 IP 地 址 


JP 网 络 地 址 采用 “网 络 。 主 机 ”的 形式 ， 其 中 网 络 部 分 是 网 络 的 地 址 编码 ， 主 机 部 分 是 网 
络 中 一 个 主机 的 地 址 编码 。IP 地 址 的 格式 如 图 6-15 所 示 。 











1.0.0.0~127.255.255.255 


A 

B 128.0.0.0~191.255.255.255 
C 192.0.0.0~223.255.255.255 
D 224.0.0.0~239.255.255.255 
E 240.0.0.0~255.255.255.255 


图 6-15 了 地址 的 格式 


卫 地 址 分 为 5 类 。A、B、C 类 是 常用 地 址 。JP 地 址 的 编码 规定 全 0 表示 本 地 地 址 ， 即 本 
地 网 络 或 本 地 主机 ; 全 1 表示 广播 地 址 ， 任 何 网 站 都 能 接收 。 所 以 ， 除 去 全 0 和 全 1 地 址 外 ， 
A 类 有 126 个 网 络 地 址 ，1600 万 个 主机 地 址 ; B 类 有 16 382 个 网 络 地 址 ，64 000 个 主机 地 址 ; 
C 类 有 200 万 个 网 络 地 址 ，254 个 主机 地 址 。 

卫 地 址 通常 用 十 进 制 数 表 示 ， 即 把 整个 地 址 划分 为 4 个 字 节 ， 每 个 字 节 用 一 个 十 进 制 数 表 
示 ， 中 间 用 圆 点 分 隔 。 根 据 瑟 地 址 的 第 一 个 字 节 ， 就 可 判断 它 是 A 类 、B 类 还 是 C 类 地 址 。 

了 P 地 址 由 美国 Intemet 信息 中 心 (InterNIC) 管理 。 如 果 想 加 入 Internet, 就 必须 向 InterNIC 
或 当地 的 NIC《〈 例 如 CNNIC) 申请 下 地 址 。 如 果 不 加 入 Intemet， 只 是 在 局 域 网 中 使 用 TCP/IP 
协议 ， 则 可 以 自己 设计 下 地 址 ， 只 要 网 络 内 部 不 冲突 就 可 以 了 。 

一 种 更 灵活 的 寻 址 方案 引入 了 子 网 的 概念 , 即 把 主机 地 址 部 分 再 划分 为 子 网 地 址 和 主机 地 
址 ， 形 成 了 三 级 寻 址 结构 。 这 种 三 级 寻 址 方式 需要 子 网 掩 码 的 支持 ， 如 图 6-16 所 示 。 

32 位 


9 地 


子 网 抹 码 11111111111111111111110000000000 

















图 6-16 子 网 掩 码 
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子 网 地 址 对 网 络 外 部 是 透明 的 。 当 人 P 分 组 到 达 目 标 网 络 后 ， 网 络 边界 路 由 器 把 32 位 的 中 
地 址 与 子 网 掩 码 进行 逻辑 “与 ”运算 , 从 而 得 到 子 网 地 址 , 并 据 此 转发 到 适当 的 子 网 中 。 图 6-17 
所 示 为 B 类 网 络 地 址 被 划分 为 两 个 子 网 的 情况 。 


网 络 地 址 子 网 地 址 主机 地 址 
于 网 11111111.11111111.11110000.00000000 
130. 47. 16. 254 10000010.00101111.00010000.11111110 
130. 47. 17. 01 10000010.00101111.00010001.00000001 
131. 47. 64. 254 10000010.00101111.01000000.11111110 
131. 47. 65. 01 10000010.00101111.01000001.00000001 


图 6-17 人 P 地 址 与 子 网 掩 码 


虽然 子 网 掩 码 是 对 网 络 编 址 的 有 益 补充 ， 但 是 还 存在 着 一 些 缺陷 。 例 如 ， 一 个 组 织 有 几 个 
包含 25 台 左 右 计 算 机 的 子 网 ， 又 有 一 些 只 包含 几 台 计算 机 的 较 小 的 子 网 。 在 这 种 情况 下 ， 如 
果 将 一 个 C 类 地 址 分 成 6 个 子 网 ， 每 个 子 网 可 以 包含 30 台 计算 机 ， 大 的 子 网 基本 上 利用 了 全 
部 地 址 ， 但 是 小 的 子 网 却 浪费 了 许多 地 址 。 为 了 解决 这 个 问题 ， 避 免 任 何 可 能 的 地 址 浪费 ， 就 
出 现 了 可 变 长 子 网 手 码 (Variable Length Subnetwork Mask，VLSM) 的 编 址 方案 。 这 样 ， 可 以 
在 卫 地 址 后 面 加 上 “/ 位 数 ” 来 表示 子 网 掩 码 中 “1” 的 个 数 。 例 如 ，202.117.125.0/27 的 前 27 
位 表示 网 络 号 和 子 网 号 ， 即 子 网 掩 码 为 27 位 长 ， 主 机 地 址 为 5 位 长 。 图 6-18 所 示 为 一 个 子 网 
划分 的 方案 ， 这 样 的 编 址 方法 可 以 充分 利用 地 址 资源 ， 特 别 是 在 网 络 地 址 紧缺 的 情况 下 尤其 


10.1.0.0/24 
| : 
10.1.127.0/24 


10.1.128.0/20 
10.1.144.0/20 
10.1.160.0/20 
10.0.:0.0116/ 101.128.0/17< 10.1.176.0/20 
10.1.0.0/16 10.1.192.0/20 
10.2.0.0/16 10.1.206.0/20 
10.1.224.0/20 
1 10.1.240.0/20 
10.254.0.0/18 
10.253.0.0/16 | 10.254.64.0/18 


10.254.0.0/16 


10.255.0.0/16 10.254.128.0/18 
10.254.192.0/18 


图 6-18 可 变 长 子 网 掩 码 
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在 点 对 点 通信 (unicast) 中 使 用 A、B 和 C 类 地 址 ， 这 类 地 址 都 指向 某 个 网 络 中 的 一 个 主 
机 。D 类 地 址 是 组 播 地 址 ， 组 播 (multicast) 和 广播 (broadcast) 类 似 ， 都 属于 点 对 多 点 通信 ， 
但 是 又 有 所 不 同 。 组 播 的 目标 是 一 组 主机 ， 而 广播 的 目标 是 所 有 主机 。 在 一 些 新 的 网 络 应 用 中 
要 用 到 组 播 地 址 ， 例 如 网 络 电视 (LAN TV)、 桌 面 会 议 (desktop conferencing)、 协 同 计算 
(collaborative computing) 和 团体 广播 (corporate broadcast) 等 ， 这 些 应 用 都 是 向 一 组 主机 发 送 
信息 。 

实现 组 播 需要 特殊 的 方法 。 首 先是 网 络 中 必须 有 能 识别 组 播 地 址 的 路 由 器 ， 这 种 路 由 器 叫 
作 组 播 网 关 ， 它 接受 一 个 目标 地 址 为 组 地 址 的 数据 报 并 转发 到 相应 的 网 络 中 。 其 次 ， 主 机 要 能 
够 发 送 组 播 数据 报 ， 这 需要 给 了 P 软件 增加 两 个 功能 ， 其 一 是 人 P 软件 要 能 够 接受 应 用 软件 指定 
的 目标 组 地 址 , 其 二 是 网 络 接口 软件 要 能 够 把 他 组 地 址 映射 到 硬件 组 地 址 或 广播 地 址 上 。 另 外 ， 
主机 还 需要 能 够 接收 组 播报 文 , 这 要 求 主机 中 的 人 P 软件 能 够 向 组 播 网 关 声 明 加 入 或 退出 某 个 地 
址 组 ， 并 且 当 组 播 数 据 报 来 到 时 向 同一 组 的 各 个 应 用 软件 各 发 送 一 个 副本 。 事 实 上 ，IP 软件 为 
主机 连接 的 每 一 个 网 络 维护 一 个 组 播 地 址 表 ， 以 指示 各 个 网 络 中 的 组 地 址 分 布 情况 ， 这 些 功 能 
在 卫 软件 中 是 不 难 实现 的 。 

E 类 保留 作为 研究 之 用 ， 以 后 的 IPv6 地 址 就 是 在 此 基础 上 扩展 的 。 


6.3.2 “IP 协议 的 操作 
下 面 分别 讨 论 中 协议 的 一 些 主要 操作 。 
1. 数据 报 生存 期 








如 果 使 用 了 动态 路 由 选择 算法 ， 或 者 允许 在 数据 报 旅行 期 间 改变 路 由 决策 ， 则 有 可 能 造成 
回路 。 最 坏 的 情况 是 数据 报 在 因特网 中 无 休止 地 巡回 , 不 能 到 达 目 的 地 并 浪费 大 量 的 网 络 资源 。 

解决 这 个 问题 的 办 法 是 规定 数据 报 有 一 定 的 生存 期 , 生存 期 的 长 短 以 它 经 过 的 路 由 器 的 多 
少 计数 。 每 经 过 一 个 路 由 器 ， 计 数 器 加 1， 计 数 器 超过 一 定 的 计数 值 ， 数 据 报 就 被 丢弃 。 当 然 ， 
也 可 以 用 一 个 全 局 的 时 钟 记录 数据 报 的 生存 期 ， 在 这 种 方案 下 ， 生 成 数据 报 的 时 间 被 记录 在 报 
头 中 ， 每 个 路 由 器 查看 这 个 记录 ， 决 定 是 继续 转发 ， 还 是 丢弃 它 。 

2. 分 段 和 重 装配 


每 个 网 络 可 能 规定 了 不 同 的 最 大 分 组 长 度 。 当 分 组 在 因特网 中 传送 时 ， 可 能 要 进入 一 个 最 
大 分 组 长 度 较 小 的 网 络 ， 这 时 需要 对 它 进行 分 段 ， 这 又 引出 了 新 的 问题 : 在 哪里 对 它 进行 重 装 
配 ? 一 种 办 法 是 在 目的 地 重 装配 。 但 这 样 只 会 把 数据 报 越 分 越 小 ， 即 使 后 续 子 网 允许 较 大 的 分 
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组 通过 ， 但 由 于 途中 的 短 报 文 无 法 装配 ， 从 而 使 通信 效率 下 降 。 

另外 一 种 办 法 是 允许 中 间 的 路 由 器 进行 重 装配 ， 这 种 方法 也 有 缺点 。 首 先是 路 由 器 必须 提 
供 重 装配 缓冲 区 ， 并 且 要 设法 避免 重 装配 死 锁 ; 其 次 是 由 一 个 数据 报 分 出 的 小 段 都 必须 经 过 同 
一 个 出 口 路 由 器 才能 再 行 组 装 ， 这 就 排除 了 使 用 动态 路 由 选择 算法 的 可 能 性 。 

现在 ， 关 于 分 段 和 重 装配 问题 的 讨论 还 在 继续 ， 已 经 提出 了 各 种 各 样 的 方案 。 下 面 介绍 在 
DoD (美国 国防 部 ) 和 ISO 的 下 协议 中 使 用 的 方法 ， 这 个 方法 有 效 地 解决 了 以 上 提出 的 部 分 
问题 。 

卫 协议 使 用 了 4 个 字段 处 理 分 段 和 重 装配 问题 。 一 个 是 报 文 ID 字段 ， 它 唯一 地 标识 了 某 
个 站 某 一 个 协议 层 发 出 的 数据 。 在 DoD 的 了 正 协 议 中 ，ID 字段 由 源 站 和 目标 站 地 址 、 产 生 数 据 
的 协议 层 标 识 符 以 及 该 协议 层 提供 的 顺序 号 组 成 。 第 二 个 字段 是 数据 长 度 ， 即 字 节 数 。 第 三 个 
字段 是 偏 置 值 ， 即 分 段 在 原来 数据 报 中 的 位 置 ， 以 8 个 字 节 (64 位 ) 的 倍数 计数 。 最 后 是 M 
标志 ， 表 示 是 否 为 最 后 一 个 分 段 。 

当 一 个 站 发 出 数据 报时 对 长 度 字段 的 赋值 等 于 整个 数据 字段 的 长 度 ， 偏 置 值 为 0，M 标志 
置 False (用 0 表示 )。 如 果 一 个 中 模块 要 对 该 报 文 分 段 ， 则 按 以 下 步骤 进行 。 

(1) 对 数据 块 的 分 段 必 须 在 64 位 的 边界 上 划分 ， 因 而 除 最 后 一 段 外 ， 其 他 段 长 都 是 64 位 
的 整数 倍 。 

(2) 对 得 到 的 每 一 分 段 都 加 上 原来 数据 报 的 他 头 ， 组 成 短 报 文 。 

(3) 每 一 个 短 报 文 的 长 度 字 段 置 为 它 包 含 的 字 节 数 。 

(4) 第 一 个 短 报 文 的 偏 置 值 置 为 0， 其 他 短 报 文 的 偏 置 值 为 它 前 边 所 有 报 文 长 度 之 和 〔 字 
节 数 ) 除 以 8。 

(5) 最 后 一 个 报 文 的 M 标志 置 为 0 (False)， 其 他 报 文 的 M 标志 置 为 1 (True)。 

表 6-2 所 示 为 一 个 分 段 的 例子 。 


表 6-2 数据 报 分 段 的 例子 



































M 标志 
原来 的 数据 报 0 
第 一 个 分 段 
第 二 个 分 段 0 





重 装 配 的 卫 模块 必须 有 足够 大 的 缓冲 区 。 整 个 重 装配 序列 以 偏 置 值 为 0 的 分 段 开始 ， 以 
M 标志 为 0 的 分 段 结束 ， 全 部 由 同一 了 的 报 文 组 成 。 
在 数据 报 服务 中 可 能 出 现 一 个 或 多 个 分 段 不 能 到 达 重 装配 点 的 情况 。 为 此 ， 采 用 两 种 对 策 
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应 付 这 种 意外 。 一 种 是 在 重 装配 点 设置 一 个 本 地 时 钟 ， 当 第 一 个 分 段 到 达 时 把 时 钟 置 为 重 装配 
周期 值 ， 然 后 递减 ， 如 果 在 时 钟 值 减 到 零 时 还 没 等 齐 所 有 的 分 段 ， 则 放弃 重 装配 。 另 外 一 种 对 
策 与 前 面 提 到 的 数据 报 生存 期 有 关 ， 目 标 站 的 重 装配 功能 在 等 待 的 过 程 中 继续 计算 已 到 达 的 分 
段 的 生存 期 ， 一 旦 超过 生存 期 ， 就 不 再 进行 重 装 配 ， 丢 弃 已 到 达 的 分 段 。 显 然 ， 这 种 计算 生存 
期 的 办 法 必须 有 全 局 时 钟 的 支持 。 


3. 差错 控制 和 流 控 


无 连接 的 网 络 操作 不 保证 数据 报 的 成 功 提交 ， 当 路 由 器 丢弃 一 个 数据 报时 ， 要 尽 可 能 地 向 
源 点 返回 一 些 信息 。 源 点 的 下 实体 可 以 根据 收 到 的 出 错 信息 改变 发 送 策略 或 者 把 情况 报告 上 层 
协议 。 丢 弃 数 据 报 的 原因 可 能 是 超过 生存 期 、 网 络 拥塞 和 FCS 校 验 出 错 等 。 在 最 后 一 种 情况 下 
可 能 无 法 返回 出 错 信息 ， 因 为 源 地 址 字段 已 不 可 辨认 了 。 

路 由 器 或 接收 站 可 以 采用 某 种 流 控 机 制 来 限制 发 送 速率 。 对 于 无 连接 的 数据 报 服务 ， 可 采 
用 的 流 控 机 制 是 很 有 限 的 。 最 好 的 办 法 也 许 是 向 其 他 站 或 路 由 器 发 送 专门 的 流 控 分 组 ， 使 其 改 
变 发 送 速率 。 
6.3.3 “IP 协议 数据 单元 

了 P 协议 的 数据 格式 如 图 6-19 所 示 ， 其 中 的 字段 如 下 。 


Tv | 有 RN 


| 
| 
任 选 数据 + 补 





用 户 数据 





图 6-19 了 协议 格式 


。 ”版 本 号 : 协议 的 版 本 号 ， 不 同 版 本 的 协议 格式 或 语义 可 能 不 同 ， 现 在 常用 的 是 IPv4， 
正在 逐渐 过 渡 到 IPv6。 

。 ”IHL: 人 P 头 长 度 ， 以 32 位 字 计 数 ， 最 小 为 5， 即 20 个 字 节 。 

。 ”服务 类 型 用 于 区 分 不 同 的 可 靠 性 、 优 先 级、 延迟 和 吞吐 率 的 参数 。 

。 ”总 长 度 : 包含 下 头 在 内 的 数据 单元 的 总 长 度 〈 字 节 数 )。 
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。 ”标识 符 : 唯一 标识 数据 报 的 标识 符 。 

。 ”标志 : 包括 3 个 标志 ， 一 个 是 M 标志 ， 用 于 分 段 和 重 装配 ; 另 一 个 是 禁止 分 段 标志 ， 
如 果 认 为 目标 站 不 具备 重 装配 能 力 ， 则 可 使 这 个 标志 置 位 ， 这 样 如 果 数 据 报 要 经 过 一 
个 最 大 分 组 长 度 较 小 的 网 络 , 就 会 被 丢弃 , 因而 最 好 使 用 源 路 由 以 避免 这 种 灾难 发 生 ; 
第 3 个 标志 当前 没有 启用 。 

。 段 偏 署 值 : 指明 该 段 处 于 原来 数据 报 中 的 位 置 。 

。 ”生存 期 用 经 过 的 路 由 器 个 数 表示 。 

。 ， 协议: 上 层 协议 〈TCP 或 UDP)。 

。 头 校 检 和 : 对 下 头 的 校 验 序列 。 在 数据 报 传输 过 程 中 正 头 中 的 某 些 字段 可 能 改变 ( 例 
如 生存 期 ， 以 及 与 分 段 有 关 的 字段 )， 所 以 校 检 和 要 在 每 一 个 经 过 的 路 由 器 中 进行 校 
验 和 重新 计算 。 校 检 和 是 对 中 头 中 的 所 有 16 位 字 进 行 1 的 补 码 相 加 得 到 的 ， 计 算 时 
假定 校 检 和 字段 本 身 为 0。 

。 ， 源 地 址 : 给 网 络 和 主机 地 址 分 别 分 配 若干 位 ， 例 如 7 和 24、14 和 16、21 和 8 等 。 

。 目标 地 址 : 同上 。 

。 ， 任 选 数据 : 可 变 长 ， 包 含 发 送 者 想 要 发 送 的 任何 数据 。 

。 补丁: 补 齐 32 位 的 边界 。 

。 用 户 数据 : 以 字 节 为 单位 的 用 户 数据 ， 和 正 头 加 在 一 起 的 长 度 不 超过 65 535 字 节 。 


6.4 ICMP 协议 


ICMP (Internet Control Message Protocol) 与 卫 协议 同属 于 网 络 层 ， 用 于 传送 有 关 通 信和 问 
题 的 消息 ， 例 如 数据 报 不 能 到 达 目 标 站 ， 路 由 器 没有 足够 的 缓存 空间 ， 或 者 路 由 器 向 发 送 主 机 
提供 最 短 通路 信息 等 。ICMP 报 文 封装 在 卫 数据 报 中 传送 ， 因 而 不 保证 可 靠 的 提交 。ICMP 报 
文 有 11 种 之 多 ， 报 文 格式 如 图 6-20 所 示 。 其 中 的 类 型 字段 表示 ICMP 报 文 的 类 型 代码 字段 
可 表示 报 文 的 少量 参数 ， 当 参数 较 多 时 写 入 32 位 的 参数 字段 ，ICMP 报 文 携带 的 信息 包含 在 可 
变 长 的 信息 字段 中 ， 校 验 和 字段 是 关于 整个 ICMP 报 文 的 校 验 和 。 

[a [ fr 码 | 校 验 和 | 


参数 | 
| 信息 (可 变 长 ) | 














图 6-20 ICMP 报 文 格式 


下 面 简要 解释 ICMP 各 类 报 文 的 含义 。 
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目标 不 可 到 达 (类 型 3): 如 果 路 由 器 判断 出 不 能 把 人 P 数据 报 送 达 目标 主机 ， 则 向 源 
主机 返回 这 种 报 文 。 另 一 种 情况 是 目标 主机 找 不 到 有 关 的 用 户 协议 或 上 层 服务 访问 点 ， 
电 会 返回 这 种 报 文 。 出 现 这 种 情况 的 原因 可 能 是 人 P 头 中 的 字段 不 正确 ; 或 者 是 数据 
报 中 说 明 的 源 路 由 无 效 ， 也 可 能 是 路 由 器 必须 把 数据 报 分 段 ， 但 他 头 中 的 D 标志 已 
置 位 。 

超时 (类 型 11): 路 由 器 发 现 正 数据 报 的 生存 期 已 超时 ,或 者 目标 主机 在 一 定时 间 内 
无 法 完成 重 装配 ， 则 向 源 端 返回 这 种 报 文 。 

源 抑制 (类 型 4): 这 种 报 文 提供 了 一 种 流量 控制 的 初等 方式 。 如 果 路 由 器 或 目标 主 
机 缓冲 资源 耗 尽 而 必须 丢弃 数据 报 , 则 每 丢弃 一 个 数据 报 就 向 源 主机 发 回 一 个 源 抑制 
报 文 ， 这 时 源 主机 必须 减 小 发 送 速 度 。 另 外 一 种 情况 是 系统 的 缓冲 区 已 用 完 ， 并 预感 
到 行将 发 生 拥 塞 ， 则 发 出 源 抑制 报 文 。 但 是 与 前 一 种 情况 不 同 ， 涉 及 的 数据 报 尚 能 提 
交 给 目标 主机 。 

参数 问题 (类 型 12): 如 果 路 由 器 或 主机 判断 出 瑟 头 中 的 字段 或 语义 出 错 ， 则 返回 这 
种 报 文 ， 报 文 头 中 包含 一 个 指向 出 错字 段 的 指针 。 

路 由 重 定向 (类 型 5): 路 由 器 向 直接 相连 的 主机 发 出 这 种 报 文 ， 告 诉 主机 一 个 更 短 
的 路 径 。 例 如 路 由 器 Rl 收 到 本 地 网 络 上 主机 发 来 的 数据 报 ，R1 检查 它 的 路 由 表 ， 发 
现 要 把 数据 报 发 往 网 络 X, 必须 先 转发 给 路 由 器 R2, 而 R2 又 与 源 主机 在 同一 网 络 中 ， 
于 是 R1 向 源 主机 发 出 路 由 重 定向 报 文 ， 把 R2 的 地 址 告诉 它 。 

回声 〈 请 求 /响应 ， 类 型 8/0): 用 于 测试 两 个 节点 之 间 的 通信 线路 是 否 畅通 。 收 到 回 
声 请 求 的 节点 必须 发 出 回声 响应 报 文 。 该 报 文中 的 标识 符 和 序列 号 用 于 匹配 请 求 和 
响应 报 文 。 当 连续 发 出 回声 请 求 时 ， 序 列 号 连续 递增 。 常 用 的 PING 工具 就 是 这 样 工 
作 的 。 

时 间 戳 〈 请 求 /响应 ， 类 型 13/14): 用 于 测试 两 个 节点 之 间 的 通信 延迟 时 间 。 请 求 方 
发 出 本 地 的 发 送 时 间 ， 响 应 方 返回 自己 的 接收 时 间 和 发 送 时 间 。 这 种 应 答 过 程 如 果 结 
合 强 制 路 由 的 数据 报 实 现 ， 则 可 以 测量 出 指定 线路 上 的 通信 延迟 。 

地 址 掩 码 〈 请 求 /响应 ， 类 型 17/18): 主机 可 以 利用 这 种 报 文 获得 它 所 在 的 LAN 的 子 
网 掩 码 。 首 先 主机 广播 地 址 掩 码 请 求 报 文 ， 同 一 LAN 上 的 路 由 器 以 地 址 掩 码 响 应 报 
文 回答 ,告诉 请 求 方 需要 的 子 网 掩 码 。 了 解 子 网 掩 码 可 以 判断 出 数据 报 的 目标 节点 与 
源 节点 是 否 在 同一 LAN 中 。 


6.5 TCP 和 UDP 协议 


在 TCP/IP 协议 簇 中 有 两 个 传输 协议 , 即 传输 控制 协议 (Transmission Control Protocol, TCP) 
和 用 户 数 据 报 协 议 (User Datagram Protocol，UDP)。TCP 是 面向 连接 的 , 而 UDP 是 无 连接 的 。 
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本 节 详 细 讨论 TCP 协议 的 控制 机 制 ， 并 简要 介绍 UDP 协议 的 特点 。 
6.5.1 TCP 服务 


TCP 协议 提供 面向 连接 的 、 可 靠 的 传输 服务 ， 适 用 于 各 种 可 靠 的 或 不 可 靠 的 网 络 。TCP 用 
户 送 来 的 是 字 节 流 形式 的 数据 ， 这 些 数据 缓存 在 TCP 实体 的 发 送 缓 冲 区 中 。 一 般 情 况 下 ，TCP 
实体 自主 地 决定 如 何 把 字 节 流 分 段 , 组 成 TPDU 发 送出 去 。 在 接收 端 ， 也 是 由 TCP 实体 决定 何 
时 把 积累 在 接收 缓冲 区 中 的 字 节 流 提交 给 用 户 。 分 段 的 大 小 和 提交 的 频 度 是 由 具体 的 实现 根据 
性 能 和 开销 权衡 决定 的 ，TCP 规范 中 没有 定义 。 显 然 ， 即 使 两 个 TCP 实体 的 实现 不 同 ， 也 可 以 
互 操作 。 

另外 ，TCP 也 允许 用 户 把 字 节 流 分 成 报 文 ， 用 推进 (PUSH) 命令 指出 报 文 的 界限 。 发 送 
端 TCP 实体 把 PUSH 标志 之 前 的 所 有 未 发 数据 组 成 TPDU 立即 发 送出 去 ， 接 收 端 TCP 实体 同 
样 根据 PUSH 标志 决定 提交 的 界限 。 


6.5.2 TCP 协议 


TCP 只 有 一 种 类 型 的 PDU,， 叫 作 TCP 段 ， 段 头 〈 也 叫 TCP 头 或 传输 头 ) 的 格式 如 图 6-21 
所 示 ， 其 中 的 字段 如 下 。 








一 一 
ele le | 


校 验 和 | spE 针 | 
任 选 项 + 补丁 


用 户 数 据 


图 6-21 TCP 传输 头 格式 





(1) 源 端 口 (16 位 ): 说 明 源 服务 访问 点 。 

(2) 目标 端口 (16 位 ): 表示 目标 服务 访问 点 。 

(3) 发 送 顺序 号 (32 位 ): 本 段 中 第 一 个 数据 字 节 的 顺序 号 。 

(4) 接收 顺序 号 (32 位 ): 捕 带 接收 的 顺序 号 ， 指 明 接 收 方 期 望 接收 的 下 一 个 数据 字 节 的 
顺序 号 

(5) 偏 置 值 (4 位 ): 传输 头 中 32 位 字 的 个 数 。 因 为 传输 头 有 任 选 部 分 ， 长 度 不 固定 ， 所 
以 需要 偏 置 值 。 
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(6) 保留 字段 〈6 位 ): 未 用 ， 所 有 实现 必须 把 这 个 字段 置 全 0。 

(7) 标志 字段 (6 位 ): 表示 各 种 控制 信息 ， 其 中 

。 URG: 紧急 指针 有 效 。 

。 ”ACK: 接收 顺序 号 有 效 。 

。 ”PSH: 推进 功能 有 效 。 

。 ”RST: 连接 复位 为 初始 状态 ， 通 常用 于 连接 故障 后 的 恢复 。 

。 ”SYN: 对 顺序 号 同步 ， 用 于 连接 的 建立 。 

。 FIN: 数据 发 送 完 ， 连 接 可 以 释放 。 

(8) 窗口 〈16 位 ): 为 流 控 分 配 的 信息 量 。 

(9) 校 验 和 “(16 位 ): 段 中 所 有 16 位 字 按 模 2_1 相 加 的 和 ， 然 后 取 1 的 补 码 。 

(10) 紧急 指针 (16 位 ): 从 发 送 顺 序号 开始 的 偏 置 值 ， 指 向 字 节 流 中 的 一 个 位 置 ， 此 位 置 
之 前 的 数据 是 紧急 数据 。 

(11) 任 选项 〈 长 度 可 变 ): 目前 只 有 一 个 任 选项 ， 即 建立 连接 时 指定 的 最 大 段 长 。 

(12) 补丁 : 补 齐 32 位 字 边 界 。 

下 面 对 某 些 字 段 做 进一步 的 解释 。 端 口 编 号 用 于 标识 TCP 用 户 ， 即 上 层 协议 ， 一 些 经 常 
使 用 的 上 层 协 议 ， 例 如 Telnet 〈 远 程 终端 协 议 )、FTP (文件 传输 协议 ) 或 SMTP 简单 邮件 传 
输 协 议 ) 等 都 有 固定 的 端口 号 ， 这 些 公 用 端口 号 可 以 在 RFC (Request For Comment) 中 查 到 ， 
任何 实现 都 应 该 按 规定 保留 这 些 公 用 端口 编号 ， 除 此 之 外 的 其 他 端口 编号 由 具体 实现 分 配 。 

前 面 提 到 ，TCP 是 对 字 节 流 进 行 传送 ， 因 而 发 送 顺 序号 和 接收 顺序 号 都 是 指 字 节 流 中 的 某 
个 字 节 的 顺序 号 ， 而 不 是 指 整个 段 的 顺序 号 。 例 如 ， 某 个 段 的 发 送 顺序 号 为 1000， 其 中 包含 
500 个 数据 字 节 ， 则 段 中 第 一 个 字 节 的 顺序 号 为 1000， 按 照 罗 辑 顺 序 ， 下 一 个 段 必然 从 第 1500 
个 数据 字 节 处 开始 ， 其 发 送 顺 序号 应 为 1500。 为 了 提高 带宽 的 利用 率 ，TCP 采用 积累 接收 的 机 
制 ,。 例如 从 A 到 B 传送 了 4 个 段 , 每 段 包含 20 个 字 节 数据 , 这 4 个 段 的 接收 顺序 号 分 别 为 30、 
50、70 和 90。 在 第 4 次 传送 结束 后 ，B 向 A 发 回 一 个 ACK 标志 置 位 的 段 ， 其 中 的 接收 顺序 号 
为 110〈 即 90+20)， 一 次 接收 了 4 次 发 送 的 所 有 字 节 ， 表 示 从 起 始 字 节 到 109 字 节 都 已 正确 
接收 。 

同步 标志 SYN 用 于 连接 建立 阶段 。TCP 用 三 次 握手 过 程 建立 连接 ， 首 先是 发 起 方 发 送 一 
个 SYN 标志 置 位 的 段 ， 其 中 的 发 送 顺序 号 为 某 个 值 互 称 为 初始 顺序 号 ISN (Initial Sequence 
Number)， 接 收 方 以 SYN 和 ACK 标志 置 位 的 段 响应 ， 其 中 的 接收 顺序 号 应 为 +1 (表示 期 望 
从 第 +t1 个 字 节 处 开始 接收 数据 )， 发 送 顺序 号 为 某 个 值 了 (接收 端 指定 的 ISN)。 这 个 段 到 达 
发 起 端 后 ， 发 起 端 以 ACK 标志 置 位 ， 应 答 顺序 号 为 Y+1 的 段 回 答 ， 连 接 就 正式 建立 了 。 可 见 ， 





第 6 章 网 络 互 连 与 互联 网 “ 呈 27 莉 


所 谓 初 始 顺序 号 就 是 收发 双方 对 连接 的 标识 ， 也 与 字 节 流 的 位 置 有 关 。 因 而 对 发 送 顺序 号 更 准 
确 的 解释 应 该 是 : 当 SYN 未 置 位 时 ， 表 示 本 段 中 第 一 个 数据 字 节 的 顺序 号 ， 当 SYN 置 位 时 ， 
它 是 初始 顺序 号 ISN， 而 段 中 第 一 个 数据 字 节 的 顺序 号 应 为 SN+1， 正 好 与 接收 方 期 望 接收 的 
数据 字 节 的 位 置 对 应 ， 如 图 6-22 所 示 。 
A B 说 明 
SYN=1 ~ 六 请 
发 5X ~ SyN-l， ACk-1 人 和 


一 一 发 号 Y 收 号 X+1 
DATA ACK 一 一 A 应 答 并 发 送 数据 


发 号 Xt1 收 号 Y+1 一 一、 


图 6-22 ”TCP 连接 的 建立 


所 谓 紧急 数据 ， 是 指 TCP 用 户 认为 很 重要 的 数据 ， 例 如 键盘 中 断 等 控制 信号 。 当 TCP 段 
中 的 URG 标志 置 位 时 ， 紧 急 指 针 表 示 距 离 发 送 顺序 号 的 偏 置 值 ， 在 这 个 字 节 之 前 的 数据 都 是 
紧急 数据 。 紧 急 数 据 由 上 层 用 户 使 用 ，TCP 只 是 尽快 地 把 它 提交 给 上 层 协 议 。 

窗口 字段 表示 从 应 答 顺 序号 开始 的 数据 字 节 数 ， 即 接收 端 期 望 接收 的 字 节 数 ， 发 送 端 根据 
这 个 数字 扩大 自己 的 窗口 。 窗 口 字 段 、 发 送 顺 序号 和 应 答 顺 序号 共同 实现 滑动 窗口 协议 。 

校 验 和 的 校 验 范围 包括 整个 TCP 段 和 伪 段 涉 〈Pseudo-header)。 伪 段 头 是 瑟 头 的 一 部 分 ， 
如 图 6-23 所 示 。 伪 段 头 和 TCP 段 一 起 处 理 有 一 个 好 处 ， 如 果 四 把 TCP 段 提交 给 错误 的 主机 ， 
TCP 实体 可 根据 伪 段 头 中 的 源 地 址 和 目标 地 址 字段 检查 出 错误 。 





图 6-23 ”TCP 检查 和 的 范围 


由 于 TCP 是 和 了 P 配 合 工作 的 ， 所 以 有 些 用 户 参 数 由 TCP 直接 传送 给 人 P 层 处 理 ， 这 些 参 
数 包含 在 中 头 中 ， 例 如 优先 级 、 延 迟 时 间 、 春 吐 率 、 可 靠 性 和 安全 级 别 等 。TCP 头 和 下 头 合 
在 一 起 ， 代 表 了 传送 一 个 数据 单元 的 开销 ， 共 40 个 字 节 。 

图 6-24 所 示 为 TCP 的 连接 状态 图 。 事实 上 ， 在 TCP 协议 的 运行 过 程 中 ， 有 多 个 连接 处 于 
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不 同 的 状态 。 
Active Open 初始化 SV Passive Open 初始 化 SV 
CLOSED 
发 送 BYN 
Close Close 
清除 SV 清除 SV 























SYN SENT 收 到 SYN SYN RECEIVD 收 到 SYN LISTEN 
发 送 ACK 发 送 SYNACK 

























收 到 ACK 





收 到 SYN ACK 
发 送 ACK 


ESTABLISHED 


















































CLOSEWAIT 
Close 
收 到 FIN ACK 发 送 FIN 
时 
FN WAIT2 CLOSING LAST ACK 
收 到 ACK 收 到 ACK 
收 到 FIN TIME WAIT | Timeout .| CLOSED 

















发 送 ACK 1 2MSL 


图 6-24 TCP 连接 状态 图 


6.5.3 TCP 拥塞 控制 


TCP 的 拥塞 控制 涉及 重 传 计时 器 管理 和 窗口 管理 ， 其 目的 是 与 流 控 机 制 配合 ， 缓 解 互联 网 
中 的 通信 紧张 状况 。 
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1， 重 传 计时 器 管理 


TCP 实体 管理 着 多 种 定时 器 〈 重 传 定时 器 、 放 弃 定 时 器 等 )， 用 于 确定 网 络 传输 时 延 和 监 
视 网 络 拥塞 情况 。 定 时 器 的 时 间 界 限 涉 及 网 络 的 端 到 端 往返 时 延 ， 静 态 计 时 方式 不 能 适应 网 络 
通信 瞬息 万 变 的 情况 ， 所 以 大 多 数 实现 都 是 通过 观察 最 近 一 段 时 间 的 报 文 时 延 来 估算 当前 的 往 
返 时 间 。 一 种 方法 是 取 最 近 一 段 时 间 报 文 时 延 的 算术 平均 值 来 预测 未 来 的 往返 时 间 ， 其 计算 方 
法 如 下 : 

天 
ARTT(K +1)= RTARITK) + RErRITK +1) 

其 中 的 RTT() 表 示 对 第 天 个 报 文 所 观察 到 的 往返 时 间 ，ARTTCRS) 是 对 前 天 个 报 文 所 计算 
的 平均 往返 时 间 。 利 用 这 个 公式 ， 不 必 每 次 重新 求 和 就 可 以 得 到 最 新 的 平均 往返 时 间 。 

简单 的 算术 平均 方法 不 能 迅速 反映 网 络 通信 情 况 变化 的 趋势 ， 改 进 的 方法 是 对 越 是 最 近 的 
观察 值 赋予 越 大 的 权 值 ， 使 其 对 平均 值 的 贡献 越 大 ， 这 种 方法 称 为 指数 平均 法 ， 可 以 用 下 面 的 
公式 表示 : 

SRTT(K +1)=a XSRTT(K)+(1 -a)XRIT(K+1) 

其 中 SRTT(&) 被 称 为 平滑 往返 时 间 估 值 ，SRTT(0)=0,，0<a<1。 

把 上 式 展开 ， 得 到 


SRTT(K+1)=(1—o)RIT(K+1)+a( -oRIT(K) + oa (oRIT(K-D+...+at( -aRTTO) 


可 以 看 出 ， 越 是 早 前 的 观察 值 ， 对 平均 值 的 贡献 越 小 (a 的 指数 越 大 )。 若 a=0.5， 几 乎 所 
有 权重 都 给 了 最 近 的 4 或 5 个 观察 值 ， 当 a=0.875 时 , 计算 就 扩大 到 最 近 的 10 个 或 更 多 个 观察 
值 。 所 得 的 结论 是 : 使 用 的 c 值 越 小 ， 则 计算 出 的 平均 值 对 最 近 的 网 络 通信 量变 化 越 敏感 ， 这 
样 做 的 缺点 是 短期 的 通信 量变 化 可 能 影响 到 平滑 往返 时 间 估 值 的 过 度 震荡 。 在 具体 实现 时 要 根 
据 网 络 通信 的 特点 采用 一 个 合适 的 wx 值 。 

重 传 计时 器 的 值 RTO 应 该 设置 得 比 SRTT 稍 大 ， 一 种 方法 是 增加 一 个 常数 值 A : 

RTO(K +1) =SRTIT(K+D+A 

A 的 值 取 多 大 ， 需 要 仔细 其 酌 。 如 果 A 的 值 取 大 了 ， 对 重 传 过 程 会 造成 不 必要 的 延迟 ， 如 
果 A 的 值 取 小 了 ， 则 观察 到 的 往返 时 间 RIT 的 微小 波动 就 会 造成 不 必要 的 重 传 。 

相对 于 增加 一 个 固定 常数 的 方法 ， 使 用 一 个 与 SRTT 成 比例 的 计时 器 效果 更 好 一 些 : 
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RTOCKE+D = MIN (UBOUND, MAX (LBOUND. BXSRTT(K+1))) 


其 中 ，UBOUND 和 LBOUND 是 两 个 选 定 的 计时 上 限 和 下 限 值 ，/ 是 常数 。 上 式 的 意思 是 选取 
的 重 传 计 时 值 与 平滑 往返 时 间 估 值 SRIT 成 比例 ,但 其 值 应 该 处 于 选 定 的 上 、 下 限 之 间 。RFC 793 
给 出 的 例子 是 ，a 在 0.8~0.9 之 间 ，pB 在 1.3 一 2.0 之 间 。 


2. 慢 启动 和 拥塞 控制 





TCP 实体 使 用 的 发 送 窗口 越 大 ， 在 得 到 确认 之 前 发 送 的 报 文 数 就 越 多 ， 这 样 就 可 能 造成 网 
络 的 拥塞 ， 特 别 在 TCP 刚 连 接 建 立 发 送 时 对 网 络 通信 的 影响 更 大 。 可 以 采用 的 一 种 策略 是 ， 让 
发 送 方 实体 在 接收 到 确认 之 前 逐步 扩展 窗口 的 大 小 ， 而 不 是 从 一 开始 就 采用 很 大 的 窗口 ， 这 种 
方法 称 为 慢 启 动 过 程 。 下面 的 慢 启动 过 程 是 以 报 文 数 来 描述 的 , 报 文 数 等 于 TCP 段 头 中 窗口 字 
段 的 值 除 以 报 文 段 的 字 节 数 。 

慢 启 动 过 程 规定 ，TCP 实体 发 送 窗 口 的 大 小 按照 下 式 计算 : 

awnd = MIN [credit, cwnd| 


。 ”awnd: 允许 窗口 的 大 小 ，TCP 实体 在 没有 收 到 进一步 确认 的 情况 下 可 以 发 送 的 报 
文 数 。 

。 ”cwnd: 拥塞 窗口 的 大 小 , 在 启动 阶段 或 拥塞 期 间 TCP 实体 使 用 的 窗口 大 小 ( 报 文 数 )。 

。 credit: 最 近 一 次 确认 报 文中 得 到 的 信息 量 ， 以 报 文 数 计量 。 

在 建立 一 个 新 连接 后 , TCP 实体 初始 化 (cwnd=1), 即 在 发 送 了 第 一 个 报 文 段 后 就 停止 发 送 ， 
等 待 确 认 后 再 发 送 下 一 个 报 文 段 ， 并 且 每 收 到 一 个 确认 ， 就 把 cwnd 加 1， 用 于 扩大 发 送 窗 口 。 
最 终 的 发 送 窗 口 大 小 是 由 收 到 的 credit 决定 的 。 

实际 上 ，cwnd 是 以 指数 规律 增长 的 。 当 第 0 个 报 文 段 的 确认 到 达 后 ，cwnd 被 增加 到 2， 
可 以 发 送 第 1 和 第 2 段 ; 当 第 1 和 第 2 个 报 文 段 的 确认 到 达 后 ，cwnd 经 过 两 次 增加 ， 其 值 已 经 
是 4 了 ; 当 这 4 个 报 文 段 都 达到 后 ，cwnd 经 过 4 次 增加 ， 其 值 就 是 8 了 。 

当 网 络 开始 出 现 拥塞 时 ， 上 述 技术 是 否 有 用 呢 ? 事实 上 ,“ 让 网 络 进 入 饱和 状态 很 容易 ， 
而 让 网 络 从 拥塞 中 恢复 却 很 难 ”(Jacobson 语 )， 这 就 是 所 谓 的 高 峰 期 的 长 尾 效应 。 所 以 还 得 补 
充 下 列 规则 : 

(1) 设置 慢 启动 的 门限 值 为 目前 拥塞 窗口 的 一 半 ， 即 ssthresh = cwnd/2 。 

(2) 置 cwnd =1， 并 且 执 行 慢 启动 过 程 ， 直 到 cwnd = ssthresh 。 

(3) 当 cwnd > ssthresh 时 ， 每 经 过 一 个 往返 时 间 cwnd 加 1。 

图 6-25 描绘 了 这 种 行为 的 效果 。 
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图 6-25 ”TCP 拥塞 控制 


6.5.4 UDP 协议 
UDP 也 是 常用 的 传输 层 协议 , 它 对 应 用 层 提供 无 连接 的 传输 服务 , 虽然 这 种 服务 是 不 可 靠 
的 、 不 保证 顺序 的 提交 ， 但 这 并 没有 减少 它 的 使 用 价值 。 相 反 ， 由 于 协议 开销 少 而 在 很 多 场合 
相当 实用 ， 特 别 是 在 网 络 管理 方面 ， 大 多 使 用 UDP 协议 。 
UDP 运行 在 他 协议 层 之 上 ， 由 于 它 不 提供 连接 ， 所 以 只 是 16 位 16 位 
在 四 协议 之 上 加 上 端口 寻 址 功能 ， 这 个 功能 表现 在 UDP 头 上 ， | | 


如 图 6-26 所 示 。 


UDP 头 包 含 源 端 口号 和 目标 端口 号 。 段 长 指 整个 UDP 段 的 
图 6-26 UDP 头 










长 度 ， 包 括 头 部 和 数据 部 分 。 校 验 和 与 TCP 相同 ， 但 是 任 选 的 ， 
如 果 不 使 用 校 验 和 , 则 这 个 字段 置 0。 由 于 了 正 的 校 验 和 只 作用 于 
卫 头 ， 并 不 包括 数据 部 分 ， 所 以 当 UDP 的 校 验 和 字段 为 0 时 ， 实 际 上 对 用 户 数据 不 进行 校 验 。 


6.6 域名 和 地 址 


Internet 地 址 分 为 3 级 ， 可 表示 为 “网 络 地 址 -主机 地 址 -端口 地 址 ”的 形式 。 其 中 ， 网 络 和 
主机 地 址 即 中 地址; 端口 地 址 就 是 TCP 或 UDP 地 址 , 用 于 表示 上 层 进 程 的 服务 访问 点 。TCP/IP 
网 络 中 的 大 多 数 公共 应 用 进程 都 有 专用 的 端口 号 ， 这 些 端 口号 是 由 IANA (Internet Assigned 
Numbers Authority) 指定 的 ， 其 值 小 于 1024， 而 用 户 进程 的 端口 号 一 般 大 于 1024。 表 6-3 中 列 
出 了 主要 的 专用 端口 号 ， 许 多 网 络 操作 系统 保护 这 些 端口 号 ， 限 制 用 户 进程 使 用 。 
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表 6-3 固定 分 配 的 专用 端口 号 















































山口 号 描 述 描 述 

和 TCP Port Service Multiplexer (TCPMUX) SQL Services 

5 Remote Job Entry (RJE)， 远 程 作业 Newsgroup (NNTP) 

7 ECHO， 回 声 NetBIOS Name Service 

话 Mepe Send Protocol (MSP)， 报 文 发 送 NetBiOS Ditagran Seivice 

协议 

20 |FTP-Data， 文 件 传输 协议 Interim Mail Access Protocol (IMAP) 

21 ”|FTP-Control， 文 件 传输 协议 150 |NetBIOS Session Service 

22 |SSH Remote Login Protocol， 远 程 登 录 156 |SQL Server 

23 ”| Telnet， 远 程 登录 161 |SNMP， 简 单 网 络 管 理 协议 

25 |Simple Mail Transfer Protocol (SMTP) He Gatewiay ProtpeoltBGPY; 边界 网 关 
29 |MSGICP | 190 | Gateway Access Control Protocol (GACP) 
37 |Time 194 |Internet Relay Chat (IRC) 

二 J Name Server (Nameserv)， 主 机 名 字 Bicolnny octinn donce CDLSY 

Lightweight Directory Access Protocol 

43 |Whols 389 |， 和 A 
49 |Login Host Protocol (Login) 396 |Novell Netware over IP 

53 “|Domain Name System (DNS)， 域 名 系统 HTTPS 
69 |Trivial File Transfer Protocol (TFTP) Simple Network Paging Protocol (SNPP) 
70 |Gopher Services 445 |Microsoft-DS 

79 |Finger 458 |Apple QuickTime 

80 ”|HTTP 超 文本 传输 协议 DHCP Client， 动态 主机 配置 协议 ， 客 户 端 
103 | x400 standard， 电 子 邮 件 标准 DHCP Server, 动态 主机 配置 协议 ， 服 务 

器 端 

108 |SNA Gateway Access Server SNEWS 
109 |POP2 MSN 
110 |POP3 Socks 
115 |Simple File Transfer Protocol (SFTP) | | 


第 6 章 网 络 互 连 与 互联 网 “ 通 213 基 


6.6.1 域名 系统 


网 络 用 户 希望 用 名 字 来 标识 主机 ， 有 意义 的 名 字 可 以 表示 主机 的 账号 、 工 作 性 质 、 所 属 的 
地 域 或 组 织 等 ， 从 而 便于 记忆 和 使 用 。Internet 的 域名 系统 (Domain Name System，DNS) 就 是 
为 这 种 需要 而 开发 的 。 

DNS 的 逻辑 结构 是 一 个 分 层 的 域名 树 , Intemet 网 络 信息 中 心 (Interet Network Information 
Center，InterNIC) 管理 着 域名 树 的 根 ， 称 为 根 域 。 根 域 没有 名 称 ， 用 句号 “.” 表 示 ， 这 是 域 
名 空间 的 最 高 级 别 。 在 DNS 的 名 称 中 ， 有 时 在 末尾 附加 一 个 “.”， 就 是 表示 根 域 ， 但 经 常 是 省 
略 的 。DNS 服 务 器 可 以 自动 补 上 结尾 的 句号 ， 也 可 以 处 理 结尾 带 句号 的 域名 。 

根 域 下 面 是 项 级 域 (Top-Level Domains，TLD )， 分 为 国家 顶级 域 (country code Top Level 
Domain，ccTLD) 和 通用 顶级 域 (generic Top Level Domain，gTLD)。 国 家 顶级 域名 包含 243 
个 国家 和 地 区 代码 ， 例 如 cn 代表 中 国 ，uk 代表 英国 等 。 最 初 的 通用 项 级 域 有 7 个 〈 如 表 6-4 
所 示 )， 这 些 顶 级 域名 原来 主要 供 美国 使 用 ， 随 着 Internet 的 发 展 ，com、org 和 net 成 为 全 世界 
通用 的 顶级 域名 ， 就 是 所 谓 的 “国际 域名 ”， 而 edu、gov 和 mil 限于 美国 使 用 。 


表 6-4 通用 项 级 域名 





域 名 使 用 对 象 
com 商业 机 构 等 盘 利 性 组 织 
edu 教育 机 构 、 学 术 组 织 和 国家 科研 中 心 等 
gov 美国 非 军 事 性 的 政府 机 关 
mil 美国 的 军事 组 织 
net 网 络 信息 中 心 (NIC) 和 网 络 操作 中 心 (BIC) 等 
org 非 盈 利 性 组 织 、 例 如 技术 支持 小 组 、 计 算 机 用 户 小 组 等 
int 国际 组 织 


负责 因特网 域名 注册 的 服务 商 (Internet Corporation for Assigned Names and Numbers， 
ICANN) 在 2000 年 11 月 决定 ， 从 2001 年 开始 使 用 新 的 国际 项 级 域名 ， 共 有 7 个 ， 即 biz 商 
业 机 构 )、info〈 网 络 公 司 )、name (个 人 网 站 )、pro〔 医 生 和 律师 等 职业 人 员 )、aero〔 航 空运 
输 业 专用 )、coop〔 商 业 合 作 社 专用 ) 和 museum (博物 馆 专用 )， 其 中 ， 前 4 个 是 非 限制 性 域 
名 ， 后 3 个 限于 专门 的 行业 使 用 ， 受 有 关 行业 组 织 的 管理 。 

2008 年 6 月 , ICANN 在 巴黎 年 会 上 通过 了 个 性 化 域名 方案 , 最 早 将 于 2009 年 开始 出 现 以 
公司 名 字 为 结尾 的 域名 ， 例 如 ibm、hp 和 qq 等 。 可 以 认为 ， 这 些 域名 的 所 有 者 在 某 种 意义 上 
就 是 一 个 域名 注册 机 构 ， 以 后 将 会 有 无 穷 多 的 国际 域名 。 

顶级 域 下 面 是 二 级 域 ， 这 是 正式 注册 给 组 织 和 个 人 的 唯一 名 称 ， 例 如 www.microsoft.com 
中 的 microsoft 就 是 微软 注册 的 域名 。 
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在 二 级 域 之 下 , 组 织 机 构 还 可 以 划分 子 域 , 使 其 各 个 分 支部 门 都 获得 一 个 专用 的 名 称 标识 ， 
例如 www-sales microsoftcom 中 的 sales 是 微软 销售 部 门 的 子 域名 称 。 划 分子 域 的 工作 可 以 一 直 
延续 下 去 ， 直 到 满足 组 织 机 构 的 管理 需要 为 止 。 但 是 标准 规定 ， 一 个 域名 的 长 度 通常 不 超过 63 
个 字符 ， 最 多 不 能 超过 255 个 字符 。 

DNS 命名 标准 还 规定 , 域名 中 只 能 使 用 ASCII 字符 集 的 有 限 子 集 , 包括 26 个 英文 字母 (不 
区 分 大 小 写 ) 和 10 个 数字 ， 以 及 连 字 符 “-”， 并 且 连 字符 不 能 作为 子 域名 的 第 一 个 和 最 后 一 个 
字母 。 后 来 的 标准 对 字符 集 有 所 扩大 。 

各 个 子 域 由 地 区 NIC 管理 。 图 6-27 是 CNNIC 规划 的 cn 下 第 二 级 子 域名 和 域名 树 系统 。 
其 中 ，ac 为 中 科 院 系统 的 机 构 ，edu 为 教育 系统 的 院 校 和 科研 单位 ，go 为 政府 机 关 ，co 为 商业 
机 构 ，or 为 民间 组 织 和 协会 ，bj 为 北京 地 区 ，sh 为 上 海地 区 ，#j 为 浙江 地 区 等 。 

第 一 级 域名 cn 











图 6-27 在 cn 域名 下 的 域名 树 


域名 到 下 地址 的 变换 由 DNS 服务 器 实现 。 一 般 子 网 中 都 有 一 个 域名 服务 器 ， 该 服务 器 管 
理 本 地 子 网 所 连接 的 主机 ， 也 为 外 来 的 访问 提供 DNS 服务 。 这 种 服务 采用 典型 的 客户 端 /服务 
器 访问 方式 : 客户 端 程序 把 主机 域名 发 送 给 服务 器 ， 服务 器 返回 对 应 的 下 地址。 有 时 被 询问 的 
服务 器 不 包含 查询 的 主机 记录 ， 根 据 DNS 协议 ， 服 务 器 会 提供 进一步 查询 的 信息 ， 也 许 是 包 
括 相 近 信息 的 另外 一 台 DNS 服务 器 的 地 址 。 

特别 需要 指出 的 是 ,域名 与 网 络 地 址 是 两 个 不 同 的 概念 。 虽然 大 多 数 连 网 的 主机 不 仅 有 一 
个 唯一 的 网 络 地 址 ， 还 有 一 个 域名 ， 但 是 有 的 主机 没有 网 络 地 址 ， 只 有 域名 。 这 种 机 器 用 电话 
线 连接 到 一 个 有 下 地 址 的 主机 上 ， 通 过 拨号 方式 访问 P 主机 ， 只 能 发 送 和 接收 电子 邮件 。 另 
一 方面 ， 高 级 的 域名 可 能 包括 几 个 网 络 ， 但 域名 树 的 结构 不 一 定 与 网 络 结构 对 应 。 还 有 一 种 情 
况 是 同一 个 子 网 中 的 主机 可 能 属于 不 同 的 子 域 ， 虽 然 这 种 情况 对 于 C 类 网 络 很 少见 。 


6.6.2 ”地 址 分 解 协议 
IP 地 址 是 分 配给 主机 的 逻辑 地 址 ， 在 因特网 络 中 表示 唯一 的 主机 。 似 乎 有 了 卫 地 址 就 可 
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以 方便 地 访问 某 个 子 网 中 的 某 个 主机 ， 寻 址 问题 就 解决 了 。 其 实 不 然 ， 还 必须 考虑 主机 的 物理 
地 址 问题 。 

由 于 互 连 的 各 个 子 网 可 能 源 于 不 同 的 组 织 ， 运 行 不 同 的 协议 〈 蜡 构 性 )， 因 而 可 能 采用 不 
同 的 编 址 方法 。 任 何 子 网 中 的 主机 至 少 都 有 一 个 在 子 网 内 部 唯一 的 地 址 ， 这 种 地 址 都 是 在 子 网 
建立 时 一 次 性 指定 的 ， 甚 至 可 能 是 与 网 络 硬件 相关 的 ， 把 这 个 地 址 叫 作 主机 的 物理 地 址 或 硬件 
地 址 。 

物理 地 址 和 人 风 辑 地 址 的 区 别 可 以 从 两 个 角度 看 : 从 网 络 互 连 的 角度 看 ， 逻 辑 地 址 在 整个 因 
特 网 络 中 有 效 , 而 物理 地 址 只 是 在 子 网 内 部 有 效 ; 从 网 络 协议 分 层 的 角度 看 , 逻辑 地 址 由 Intemet 
层 使 用 ， 而 物理 地 址 由 子 网 访问 子 层 〈 具 体 地 说 就 是 数据 链 路 层 ) 使 用 。 

由 于 有 两 种 主机 地 址 ， 因 此 需要 一 种 映像 关系 把 这 两 种 地 址 对 应 起 来 。 在 Intemet 中 是 用 
地 址 分 解 协议 ‘Address Resolution Protocol，ARP) 来 实现 逻辑 地 址 到 物理 地 址 映像 的 。ARP 
分 组 的 格式 如 图 6-28 所 示 ， 各 字段 的 含义 解释 如 下 。 


切 议 关 型 





目标 节点 硬件 地 址 
目标 节点 协议 地 址 


图 6-28 ARP/RARP 分 组 格式 





。 硬件 类 型 : 网络 接 口 硬件 的 类 型 ， 对 以 太 网 此 值 为 1。 
。 ”协议 类 型 :发 送 方 使 用 的 协议 ，0800H 表示 下 协议 。 
。 硬件 地 址 长 度 : 对 以 太 网 ， 地 址 长 度 为 6 字 节 。 

。 ”协议 地 址 长 度 : 对 下 协议 ， 地 址 长 度 为 4 字 节 。 


。 “操作: 
> 1 一 一 ARP 请 求 。 
> 2 一 一 ARP 响应 。 
> 3 一 -RARP 请 求 。 
六 4- RARP 响应 。 


通常 ，Intemet 应 用 程序 把 要 发 送 的 报 文 交 给 下， 了 正 协议 当然 知道 接收 方 的 逻辑 地 址 〈 否 
则 就 不 能 通信 了 )， 但 不 一 定 知道 接收 方 的 物理 地 址 。 在 把 他 分 组 向 下 传送 给 本 地 数据 链 路 实 
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体 之 前 ， 可 以 用 两 种 方法 得 到 目标 物理 地 址 。 
(1) 查 本 地 内 存 的 ARP 地 址 映像 表 ， 通 常 ARP 地 址 映像 表 的 逻辑 结构 如 表 6-5 所 示 。 可 
以 看 出 这 是 中 地址 和 以 太 网 地 址 的 对 照 表 。 


表 6-5 ARP 地 址 映像 表 的 例子 














JP 地址 以 太 网 地 址 
130.130.87.1 08 00 39 00 29 D4 
129.129.52.3 08 00 5A 21 17 22 
192.192.30.5 08 00 1099 Al 44 





(2) 如 果 ARP 表 查 不 到 , 就 广播 一 个 ARP 请 求 分 组 , 这 种 分 组 可 经 过 路 由 器 进一步 转发 ， 
到 达 所 有 连 网 的 主机 。 它 的 含义 是 :“ 如 果 你 的 人 P 地 址 是 这 个 分 组 的 目标 地 址 ， 请 回答 你 的 物 
理 地 址 是 什么 。” 收 到 该 分 组 的 主机 一 方面 可 以 用 分 组 中 的 两 个 源 地 址 更 新 自己 的 ARP 地 址 映 
像 表 ， 另 一 方面 用 自己 的 正 地 址 与 目标 卫 地 址 字段 比较 ， 若 相符 则 发 回 一 个 ARP 响应 分 组 ， 
向 发 送 方 报告 自己 的 硬件 地 址 ; 若 不 相符 ， 则 不 予 回答 。 

所 谓 代理 ARP (Proxy ARP)， 就 是 路 由 器 “假装 ”目标 主机 来 回答 ARP 请 求 ， 所 以 源 主 
机 必须 先 把 数据 帧 发 给 路 由 器 ， 再 由 路 由 器 转发 给 目标 主机 。 这 种 技术 不 需要 配置 默认 网 关 ， 
也 不 需要 配置 路 由 信息 ， 就 可 以 实现 子 网 之 间 的 通信 。 

用 于 说 明代 理 ARP 的 例子 如 图 6-29 所 示 ， 设 子 网 A 上 的 主机 A (172.16.10.100) 需要 与 
子 网 B 上 的 主机 D (172.16.20.200) 通信 。 图 中 的 主机 A 有 一 个 16 位 的 子 网 掩 码 ， 这 意味 着 
主机 A 认为 它 直接 连接 到 网 络 172.16.0.0。 当 主机 A 需要 与 它 直接 连接 的 设备 通信 时 , 它 就 向 目标 
发 送 一 个 ARP 请 求 。 当 主机 A 需要 主机 D 的 MAC 地 址 时 ， 它 在 子 网 A 上 广播 的 ARP 请 求 分 组 
如 下 。 


发 送 者 的 MAC 地 址 发 送 者 的 IP 地 址 目标 的 MAC 地 址 目标 的 IP 地 址 
00-00-0c-94-36-aa 00-00-00-00-00-00 172.16.20.200 
这 个 请 求 的 含义 是 要 求 主机 D (172.16.20.200) 回答 它 的 MAC 地 址 。ARP 请 求 分 组 被 包 
装 在 以 太 帧 中 ， 其 源 地 址 是 A 的 MAC 地 址 ， 而 目标 地 址 是 广播 地 址 (FFFFFFFFFFFF)。 由 
于 路 由 器 不 转发 广播 帧 ， 所 以 这 个 ARP 请 求 只 能 在 子 网 A 中 传播 ， 到 不 了 主机 D。 如 果 路 由 
器 知道 目标 地 址 (172.16.20.200) 在 另外 一 个 子 网 中 ， 它 就 以 自己 的 MAC 地 址 回答 主机 A， 
路 由 器 发 送 的 应 答 分 组 如 下 。 


发 送 者 的 MAC 地 址 发 送 者 的 IJP 地 址 目标 的 MAC 地 址 目标 的 卫 地 址 
00-00-0c-94-36-ab 172.16.20.200 00-00-0c-94-36-aa 172.16.10.100 
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A B 
此 己 羡 
172.16.10.100/16 172.16.10.200/24 
00-00-0c-94-36-aa 00-00-0c-94-36-bb 
e0 172.16.10.99/24 子 网 A 


00-00-0c-94-36-ab 











路 由 器 | el 172.16.20.99/24 本 
00-00-0c-94-36-cd 于 网 B 
172.16.20.100/24 172.16.20.200/24 
00-00-00-94-36-ce 蕊 ”” 
C D 


图 6-29 代理 ARP 的 例子 


这 个 应 答 分 组 封装 在 以 太 帧 中 ， 以 路 由 器 的 MAC 地 址 为 源 地 址 ， 以 主机 A 的 MAC 地 址 
为 目标 地 址 ，ARP 应 答 帧 是 单 播 传送 的 。 在 接收 到 ARP 应 答 后 ， 主 机 A 就 更 新 它 的 ARP 表 。 


IP 地 址 MAC 地 址 
172.16.20.200 | 00-00-0c-94-36-ab 


从 此 以 后 , 主机 A 就 把 所 有 给 主机 D(172.16.20.200) 的 分 组 发 送 给 MAC 地 址 为 00-00-0c- 
94-36-ab 的 主机 ， 这 就 是 路 由 器 的 网 卡 地 址 。 

通过 这 种 方式 , 子 网 A 中 的 ARP 映像 表 都 把 路 由 器 的 MAC 地址 当 作 子 网 B 中 主机 的 MAC 
地 址 。 例 如 ， 主 机 A 的 ARP 映像 表 如 下 。 


IP 地 址 
172.16.20.200 
172.16.20.100 
172.16.10.99 
172.16.10.200 


MAC 地 址 
00-00-0c-94-36-ab 
00-00-0c-94-36-ab 
00-00-0c-94-36-ab 
00-00-0c-94-36-bb 











多 个 中 地 址 被 映像 到 一 个 MAC 地 址 这 一 事实 正 是 代理 ARP 的 标志 。 

RARP (Reverse Address Resolution Protocol) 是 反 向 ARP 协议 ， 即 由 硬件 地 址 查找 逻辑 地 
址 。 通常 , 主机 的 下 地 址 保存 在 硬盘 上 , 机 器 关 电 时 也 不 会 丢失 , 系统 启动 时 自动 读 入 内 存 中 。 
但 是 , 无 盘 工 作 站 无 法 保存 下 地址 , 它 的 下 地 址 由 RARP 服务 器 保存 。 当 无 盘 工 作 站 启动 时 ， 
广播 一 很 ARP 请 求 分 组 ,把 自己 的 硬件 地 址 同时 写 入 发 送 方 和 接收 方 的 硬件 地 址 字段 中 .RARP 
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服务 器 接收 这 个 请 求 ， 并 填写 目标 人 P 地 址 字段 ， 把 操作 字段 改 为 RARP 响应 分 组 ， 送 回 请 求 
的 主机 。 


6.7 网关 协 议 


Intemet 中 的 路 由 器 叫 作 下 网关。 网 关 执 行 复杂 的 路 由 算法 , 需要 大 量 且 及 时 的 路 由 信息 。 
网 关 协 议 就 是 用 于 网 关 之 间 交换 路 由 信息 的 协议 。 


6.7.1 自治 系统 


自治 系统 是 由 同 构 型 的 网 关连 接 的 因特网 ， 这 样 的 系统 往往 是 由 一 个 网 络 管理 中 心 控制 
的 。 自 治 系统 内 部 的 网 关 之 间 执行 内 部 网 关 协 议 (Interior Gateway Protocol，IGP)， 互 相交 换 
路 由 信息 。 一 般 来 说 ，IGP 是 自治 系统 内 部 专用 的 ， 为 特定 的 应 用 服务 ， 在 自治 系统 之 外 是 无 
效 的 。 

一 个 因特网 也 可 能 由 不 同 的 自治 系统 互 连 而 成 , 例如 若干 个 校园 网 通过 广域网 互 连 就 是 这 
种 情况 ， 如 图 6-30 所 示 。 在 这 种 情况 下 ， 不 同 的 自治 系统 可 能 采用 不 同 的 路 由 表 、 不 同 的 路 由 
选择 算法 。 在 不 同 自治 系统 之 间 用 外 部 网 关 协 议 (Exterior Gateway Protocol，EGP) 交换 路 由 
信息 。 可 以 想到 ，EGP 比 IGP 传送 的 信息 要 少 一 些 ， 因 为 EGP 只 涉及 自治 系统 之 间 的 路 由 
信息 ， 而 与 系统 内 部 路 由 无 关 。 换 而 言 之 ，EGP 以 自治 系统 为 节点 ， 通 告 各 个 网 关 可 到 达 哪 些 
系统 。 


AS1 AS2 





























网 络 





图 6-30 ”内 部 网 关 协 议和 外 部 网 关 协 议 


6.7.2 ”外 部 网 关 协 议 
早期 有 一 个 外 部 网 关 协 议 叫 EGP， 最 新 的 外 部 网 关 协 议 叫 作 BGP (Border Gateway 
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Protocol)。 现 在 ，BGP 4 已 经 广泛 地 应 用 于 不 同 ISP 的 网 络 之 间 ， 成 为 事实 上 的 Intemet 外 部 路 
由 协议 标准 。 
BGP 4 是 一 种 动态 路 由 发 现 协议 ， 支 持 无 类 别 域 间 路 由 CIDR。BGP 的 主要 功能 是 控制 路 
由 策略 ， 例 如 是 否 愿 意 转 发 过 路 的 分 组 等 。BGP 的 4 种 报 文 如 表 6-6 所 示 ， 这 些 报 文通 过 TCP 
(179 端口 ) 连接 传送 。 在 BGP 中 用 上 述 4 种 报 文 可 实现 以 下 3 个 功能 过 程 ; 


表 6-6 BGP 的 4 种 报 文 





报 文 类 型 功能 描述 
打开 (Open) 建立 邻居 关系 
更 新 (Update) 发 送 新 的 路 由 信息 
保持 活动 状态 (Keepalive) 对 Open 的 应 答 /周期 性 地 确认 邻居 关系 
通告 Notification) 报告 检测 到 的 错误 


(1) 建立 邻居 关系 。 位 于 不 同 自治 系统 中 的 两 个 路 由 器 首先 要 建立 邻居 关系 ， 然 后 才能 周 
期 性 地 交换 路 由 信息 。 建 立 邻 居 关 系 的 过 程 是 由 一 个 路 由 器 发 送 Open 报 文 ， 另 一 个 路 由 器 若 
愿意 接受 请 求 则 以 Keepalive 报 文 应 答 。 至 于 路 由 器 如 何 知道 对 方 的 他 地址 , 协议 中 没有 规定 ， 
可 以 由 管理 人 员 在 配置 时 提供 。Open 报 文中 包含 发 送 者 的 他 地 址 及 其 所 属 自治 系统 的 标识 ， 
另外 还 有 一 个 保持 时 间 参 数 ， 即 定期 交换 信息 的 时 间 间 隔 。 接 收 者 把 Open 报 文中 的 保持 时 间 
与 自己 的 保持 时 间 计 数 器 比较 , 选取 其 中 的 较 小 者 , 这 就 是 一 次 交换 信息 保持 有 效 的 最 长 时 间 。 
建立 邻居 关系 的 一 对 路 由 器 以 选 定 的 周期 交换 路 由 信息 。 

(2) 邻居 可 到 达 性 。 这 个 过 程 维 护 邻 居 关 系 的 有 效 性 ， 通 过 周期 性 地 互相 发 送 Keepalive 
报 文 ， 双 方 都 知道 对 方 的 活动 状态 。 

(3) 网 络 可 到 达 性 。 每 个 路 由 器 维护 一 个 数据 库 ， 记 录 着 它 可 到 达 的 所 有 子 网 。 当 情况 有 
变化 时 用 更 新 报 文 把 最 新 信息 及 时 地 传送 给 其 他 BGP 路 由 器 。Update 报 文 包含 两 类 信息 : 一 
类 是 要 作废 的 路 由 器 列表 ， 另 一 类 是 新 增 路 由 的 属性 信息 。 前 者 列 出 了 已 经 关机 或 失效 的 一 些 
路 由 器 ， 接 收 者 应 把 有 关内 容 从 本 地 数据 库 中 删除 。 后 者 包含 以 下 3 种 信息 : 

。 ”网 络 层 可 到 达 信息 NLRI)。 发 送 路 由 器 可 到 达 的 子 网 地 址 列表 。 

。 ”经 过 的 自治 系统 (AS_Path)。 数据 报 经 过 的 自治 系统 的 标识 , 主要 用 于 通信 策略 控制 。 

收 到 这 个 信息 的 路 由 器 可 以 自主 决定 是 否 选 择 某 条 通路 , 例如 机 密 报 文 不 能 进入 某 些 
自治 系统 ， 或 者 由 于 线路 拥塞 而 决定 不 选择 某 条 通路 。 

。 ”下 一 跳 (Next-Hop)。 指 下 一 步 转发 的 边界 路 由 器 的 下 地址。 可 以 是 发 送 者 的 地 址 ， 

也 可 以 是 另外 的 边界 路 由 器 的 地 址 。 例 如 在 图 6-30 中 ，R1 告诉 R5， 通 过 R2 也 可 以 
到 达 AS1。 虽 然 R2 没有 实现 BGP， 也 没有 与 RS 建立 邻居 关系 ， 但 是 R1 通过 IGP 
知道 了 与 R2 有 关 的 路 由 信息 。 
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BGP 4 的 报 文 格式 如 图 6-31 所 示 。 所 有 的 BGP 报 文 都 有 19 个 字 节 的 固定 长 度 头 部 ， 其 中 
包括 16 个 字 节 的 标记 (用 于 认证 和 同步 )、 两 个 字 节 的 报 文 长 度 和 一 个 字 节 的 类 型 
字段 。 





4 字 节 





头 部 长 度 标记 




















吴 

并 

末 
让 


BGP 报 文 的 数据 部 分 | 





图 6-31 BGP 报 文 格式 


图 6-32 表示 BGP 更 新 报 文 的 数据 部 分 ， 对 其 中 部 分 字段 解释 如 下 : 


不 可 用 的 路 由 长 度 (两 个 字 节 ) 
回收 的 路 由 (可 变 长 ) 








图 6-32 路 由 更 新 报 文 


。 ”不 可 用 的 路 由 长 度 (unfeasible routes length): 表示 回收 字段 的 长 度 。 
。 ”回收 的 路 由 (withdrawn routes): 包含 了 从 服务 中 撤销 的 路 由 的 下 地 址 前 级 列表 。 
。 通路 属性 (path attributes): 包含 了 与 网 络 层 可 到 达 性 信息 字段 中 的 中 地址 前 级 相关 
联 的 属性 列表 ， 例 如 路 由 信息 的 来 源 、 路 由 优先 级 、 实 施 路 由 聚合 的 BGP 实体 ， 以 
及 在 路 由 聚合 时 丢失 的 路 由 信息 等 。 
6.7.3 内 部 网 关 协 议 
网 关 协 议 也 叫 作 路 由 协议 (Routing Protocol)， 是 路 由 器 之 间 实 现 路 由 信息 共享 的 一 种 机 


制 ， 它 允许 路 由 器 之 间 通 过 交换 路 由 信息 维护 各 自 的 路 由 表 。 了 下 协议 是 根据 路 由 表 进行 分 组 转 
发 的 协议 ， 按 照 业 内 的 说 法 ， 应 该 叫 作 被 路 由 的 协议 (Routed Protocol)。 





























第 6 章 网 络 互 连 与 互联 网 “ 通 221 医 


常用 内 部 路 由 协议 包括 路 由 信息 协议 (Routing Information Protocol，RIP)、 开 放 最 短路 径 
优先 协议 (Open Shortest Path First, OSPF )、 中 间 系 统 到 中 间 系 统 的 协议 (Intermediate System to 
Intermediate System，IS-IS)、 内 部 网 关 路 由 协议 (Interior Gateway Routing Protocol，IGRP) 和 
增强 的 IGRP 协议 Enhanced IGTRP，EIGRP) 等 ， 最 后 两 种 是 思科 公司 的 专利 协议 。 


1， 路 由 信息 协议 


RIP 的 原型 最 早出 现在 UNIX Berkley 4.3 BSD 中 , 它 采 用 Bellman-Ford 的 距离 矢量 路 由 算 
法 ， 用 于 在 ARPAnet 中 计算 最 佳 路 由 ， 现 在 的 RIP 作为 内 部 网 关 协 议 运行 在 基于 TCP/P 的 网 
络 中 。RIP 适用 于 小 型 网 络 ， 因 为 它 允 许 的 跳 步 数 不 超过 15 步 。 

1) RIPv1 

RIP 分 为 两 个 版 本 。RIPv1 (RFC 1058，1988) 是 早期 的 路 由 协议 ， 现 在 仍然 广泛 使 用 。 
RIPv1 使 用 本 地 广播 地 址 255.255.255.255 发 布 路 由 信息 ， 默 认 的 路 由 更 新 周期 为 30s， 持 有 时 
间 (Hold-Down Time) 为 180s。 也 就 是 说 ，RIP 路 由 器 每 30s 向 所 有 邻居 发 送 一 次 路 由 更 新 报 
文 ， 如 果 在 180s 之 内 没有 从 某 个 邻居 接收 到 路 由 更 新 报 文 ， 则 认为 该 邻居 已 经 不 存在 了 。 这 时 
如 果 从 其 他 邻居 收 到 了 有 关 同 一 目标 的 路 由 更 新 报 文 ， 则 用 新 的 路 由 信息 替换 已 失效 的 路 由 表 
项 ， 和 否则 ， 对 应 的 路 由 表 项 被 删除 。 

RIP 以 跳 步 计数 (Hop Count) 来 度量 路 由 费用 ， 显 然 这 不 是 最 好 的 度量 标准 。 例 如 ， 若 有 
两 条 到 达 同 一 目标 的 连接 , 一 条 是 经 过 两 跳 的 10M 以 太 网 连接 , 另 一 条 是 经 过 一 跳 的 64k WAN 
连接 ， 则 RIP 会 选取 WAN 连接 作为 最 佳 路 由 。 在 RIP 协议 中 ，15 跳 是 最 大 跳 数 ，16 跳 是 不 可 
到 达 网 络 ， 经 过 16 跳 的 任何 分 组 将 被 路 由 器 丢弃 。 

RIPv1 是 有 类 别 的 协议 〈Classful Protocol)， 这 意味 着 配置 RIPV1 时 必须 使 用 A、B 或 C 
类 IP 地 址 和 子 网 掩 码 ， 例 如 不 能 把 子 网 掩 码 255.255.255.0 用 于 B 类 网 络 172.16.0.0。 

对 于 同一 目标 ，RIP 路 由 表 项 中 最 多 可 以 有 6 条 等 费用 的 通路 ， 虽 然 默认 是 4 条 。RIP 可 
以 实现 等 费用 通路 的 负载 均衡 (Equal-Cost Load Balancing)， 这 种 机 制 提供 了 链 路 宛 余 功能 ， 
以 对 付 可 能 出 现 的 连接 失效 ， 但 是 RIP 不 支持 不 等 费用 通路 的 负载 均衡 ， 这 种 功能 出 现在 后 来 
的 IGRP 和 EIGRP 中 。 

2) RIPv2 

RIPv2 是 增强 了 的 REP 协议 ， 定 义 在 RFC 1721 和 RFC 1722 (1994) 中 。RIPv2 基本 上 还 
是 一 个 距离 矢量 路 由 协议 ， 但 是 有 3 个 方面 的 改进 。 首 先是 它 使 用 组 播 而 不 是 广播 来 传播 路 由 
更 新 报 文 ， 并 且 采 用 了 触发 更 新 〈Triggered Update) 机 制 来 加 速 路 由 收敛 ， 即 出 现 路 由 变化 时 
立即 向 邻居 发 送 路 由 更 新 报 文 ， 而 不 必 等 待 更 新 周期 是 否 到 达 。 其 次 是 RIPv2 是 一 个 无 类 别 的 
协议 (Classless Protocol), 可 以 使 用 可 变 长 子 网 掩 码 (VLSM), 也 支持 无 类 别 域 间 路 由 (CIDR)， 
这 些 功能 使 得 网 络 的 设计 更 具 伸 缩 性 。 第 3 个 增强 是 RIPv2 支持 认证 ， 使 用 经 过 散 列 的 口令 字 
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来 限制 路 由 更 新 信息 的 传播 。 其 他 方面 的 特性 与 第 一 版 相同 , 例如 以 跳 步 计数 来 度量 路 由 费用 ， 
允许 的 最 大 跳 步 数 为 15 等 。 

3) 路 由 收敛 和 水 平分 割 

距离 矢量 法 算法 要 求 相 邻 的 路 由 器 之 间 周 期 性 地 交换 路 由 表 ， 并 通过 逐步 交换 把 路 由 信息 
扩散 到 网 络 中 所 有 的 路 由 器 。 这 种 逐步 交换 过 程 如 果 不 加 以 限制 ， 将 会 形成 路 由 环 路 (Routing 
Loops)， 使 得 各 个 路 由 器 无 法 就 网 络 的 可 到 达 性 取得 一 致 。 

例如 在 图 6-33 中 ， 路 由 器 RI、R2、R3 的 路 由 表 已 经 收敛 ,每 个 路 由 表 的 后 两 项 是 通过 交 
换 路 由 信息 学 习 到 的 。 如 果 在 某 一 时 刻 ， 网 络 10.4.0.0 发 生 故障 ，R3 检测 到 故障 ， 并 通过 接口 
S0 把 故障 通知 给 R2。 然 而 ， 如 果 R2 在 收 到 R3 的 故障 通知 前 将 其 路 由 表 发 送 到 R3， 则 R3 会 
认为 通过 R2 可 以 访问 10.4.0.0， 并 据 此 将 路 由 表 中 的 第 二 条 记录 修改 为 (10.4.0.0，S0，2)。 
这 样 一 来 ， 路 由 器 R1I、R2、R3 都 认为 通过 其 他 的 路 由 器 存在 一 条 通 往 10.4.0.0 的 路 径 ， 结 果 
导致 目标 地 址 为 10.4.0.0 的 数据 包 在 3 个 路 由 器 之 间 来 回 传递 ， 从 而 形成 路 由 环 路 。 

















10.1.0.0 a 10.2.0.0 10.3.0.0 10.4.0.0 





E0 S0 S0 S1 S0 E0 





图 6-33 路 由 表 的 内 容 


解决 路 由 环 路 问题 可 以 采用 水 平分 割 法 (Split Horizon)。 这 种 方法 规定 ， 路 由 器 必须 有 选 
择 地 将 路 由 表 中 的 信息 发 送 给 邻居 ， 而 不 是 发 送 整个 路 由 表 。 具 体 地 说 ， 一 条 路 由 信息 不 会 被 
发 送 给 该 信息 的 来 源 。 这 里 对 图 6-33 中 R2 的 路 由 表 项 加 上 一 些 注释 , 如 图 6-34 所 示 , 可 以 看 
出 ， 每 一 条 路 由 信息 都 不 会 通过 其 来 源 接口 向 外 发 送 ， 这 样 就 可 以 避免 环 路 的 产生 。 











图 6-34 路 由 信息 选择 发 送 


第 6 章 网 络 互 连 与 互联 网 “ 国 23 医 


简单 的 水 平分 割 方案 是 :“ 不 能 把 从 邻居 学 习 到 的 路 由 发 送 给 那个 邻居 ”， 带 有 反 向 毒化 的 
水 平分 割 方案 (Split Horizon with Poisoned Reverse) 是 :“ 把 从 邻居 学 习 到 的 路 由 费用 设置 为 无 
限 大 ， 并 立即 发 送 给 那个 邻居 ”。 采 用 反 向 毒化 的 方案 更 安全 一 些 ， 它 可 以 立即 中 断 环 路 。 相 
反 ， 简 单 水 平分 割 方案 则 必须 等 待 一 个 更 新 周期 才能 中 断 环 路 的 形成 。 

另外 ， 前 面 提 到 的 触发 更 新 技术 也 能 加 快 路 由 收 化 ， 如 果 触 发 更 新 足够 及 时 一 一 路 由 器 
R3 在 接收 R2 的 更 新 报 文 之 前 把 网 络 10.4.0.0 的 故障 告诉 R2， 则 也 可 以 防止 环 路 的 形成 。 


4) RIP 报 文 格式 


RIPv2 报 文 封装 在 UDP 数据 报 中 发 送 ， 占 用 端口 号 520， 报 文 格式 如 图 6-35 所 示 。 报 文 
包含 4 个 字 节 的 报头 , 然后 是 若干 个 路 由 记录 。RIP 报 文 最 多 可 携带 25 个 路 由 记录 ,每 个 路 由 







































记录 20 个 字 节 ， 其 中 各 个 字段 的 解释 如 下 。 
4 字 节 
头 部 [ 命令 [ 版 本 [| 0 
地 址 族 标识 符 ] ”路由 标记 |】 站 
网 络 地 址 字 
子 网 挤 码 
下 一 跳 路 由 器 地 址 
距离 (1~16) 记 
录 


习 到 的 路 由 。 


最 多 25 个 路 由 记录 
图 6-35 ”RIPv2 报 文 格式 


命令 : 用 于 区 分 请 求 和 响应 报 文 。 
版 本 : 可 以 是 RIP 第 一 版 或 第 二 版 ， 两 种 版 本 报 文 格式 相同 。 
地 址 族 标识 符 : 对 于 “协议 ， 该 字段 为 2。 
路 由 标记 : 用 于 区 别 内 部 或 外 部 路 由 ， 用 16 位 的 AS 编号 来 区 分 从 其 他 自治 系统 学 


网 络 地 址 : 表示 目标 下 地 址 。 
子 网 扼 码 :对 于 RIPvV2， 该 字段 是 对 应 网 络 地 址 的 子 网 掩 码 ; 对 于 RIPv1， 该 字段 是 


0， 因 为 RIPvl 默认 使 用 A、B、C 类 地 址 掩 码 。 


. OSPF 协议 


下 一 跳 路 由 器 地 址 : 表示 下 一 跳 的 地 址 。 
距离 ， 表示 到 达 目 标的 跳 步 数 。 


OSPF (RFC 2328，1998) 是 一 种 链 路 状态 协议 ， 用 于 在 自治 内 部 的 路 由 器 之 间 交 换 路 由 
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信息 。OSPF 具有 支持 大 型 网 络 、 占 用 网 络 资源 少 、 路 由 收敛 快 等 优点 ， 在 目前 的 网 络 配置 中 
占有 很 重要 的 地 位 。 

距离 矢量 协议 发 布 自己 的 路 由 表 ， 交 换 的 路 由 信息 量 很 大 。 链 路 状态 协议 与 之 不 同 ， 它 是 
从 各 个 路 由 器 收集 链 路 状态 信息 ， 构 造 网 络 拓扑 结构 图 ， 使 用 Dijkstra 的 最 短 通路 优先 算法 

(Shortest Path First，SPF) 计算 到 达 各 个 目标 的 最 佳 路 由 。 

链 路 状态 协议 与 距离 矢量 协议 发 布 路 由 信息 的 方式 也 不 同 ,距离 矢量 协议 是 周期 性 地 发 布 
路 由 信息 ,而 链 路 状态 协议 是 在 网 络 拓扑 发 生变 化 时 才 发 布 路 由 信息 ,而且 OSPF 采用 TCP 连 
接 发 送 报 文 ， 每 个 报 文 都 要 求 应 答 ， 因 而 通信 更 加 可 靠 。 

为 了 适应 大 型 网 络 配 置 的 需要 ，OSPF 协议 引入 了 “分 层 路 由 ”的 概念 。 如 果 网 络 规模 很 
大 ， 则 路 由 器 要 学 习 的 路 由 信息 很 多 ， 对 网 络 资源 的 消耗 很 大 ， 所 以 典型 的 链 路 状态 协议 都 把 
网 络 划 分 成 较 小 的 区 域 (Area)， 从 而 限制 了 路 由 信息 传播 的 范围 。 每 个 区 域 就 如 同一 个 独立 的 
网 络 ， 区 域内 的 路 由 器 只 保存 该 区 域 的 链 路 状态 信息 ， 使 得 路 由 器 的 链 路 状态 数据 库 可 以 保持 
合理 的 大 小 ， 路 由 计算 的 时 间 和 报 文 数量 都 不 会 太 大 。OSPF 主干 网 负责 在 各 个 区 域 之 问 传播 
路 由 信息 。 

图 6-36 所 示 为 一 个 划分 成 3 个 区 域 的 OSPF 网 络 的 例子 ， 其 中 的 路 由 器 4、5、6、10、11 
和 12 组 成 主干 网 ,如 果 区 域 3 中 的 主机 Hl 要 向 区 域 2 中 的 主机 H2 发 送 数据 , 则 先 发 送 给 R13， 
由 它 转发 给 R12， 再 转发 给 R11，R11 沿 主干 网 转发 给 R10， 然 后 通过 区 域 2 内 的 路 由 器 R9 和 
R7 到 达 主 机 H2 。 





























图 6-36 ”OSPF 的 分 区 


主干 网 本 身 也 是 OSPF 区 域 ， 称 为 区 域 0 (Area 0)， 主 干 网 的 拓扑 结构 对 所 有 的 跨 区 域 的 
路 由 器 都 是 可 见 的 。 
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1) OSPF 区 域 

每 个 OSPF 区 域 被 指定 了 一 个 32 位 的 区 域 标识 符 ， 可 以 用 点 分 十 进 制 表示 ， 例 如 主干 区 
域 的 标识 符 可 表示 为 0.0.0.0。OSPF 的 区 域 分 为 以 下 5 种 ， 不 同类 型 的 区 域 对 由 自治 系统 外 部 
传 入 的 路 由 信息 的 处 理 方 式 不 同 。 

。 标准 区 域 : 标准 区 域 可 以 接收 任何 链 路 更 新 信息 和 路 由 汇总 信息 。 

。 ”主干 区 域 : 主干 区 域 是 连接 各 个 区 域 的 传输 网 络 ， 其 他 区 域 都 通过 主干 区 域 交 换 路 由 

信息 。 主 干 区 域 拥有 标准 区 域 的 所 有 性 质 。 

。 ”存根 区 域 : 不 接收 本 地 自治 系统 以 外 的 路 由 信息 ， 对 自治 系统 以 外 的 目标 采用 默认 路 
由 0.0.0.0。 

。 ”完全 存根 区 域 : 不 接收 自治 系统 以 外 的 路 由 信息 ， 也 不 接收 自治 系统 内 其 他 区 域 的 路 
由 汇总 信息 ， 发 送 到 本 地 区 域外 的 报 文 使 用 默认 路 由 0.0.0.0。 完 全 存根 区 域 是 Cisco 
定义 的 ， 是 非 标准 的 。 

。 ”不 完全 存根 区 域 (NSAA): 类 似 于 存根 区 域 , 但 是 允许 接收 以 类 型 7 的 链 路 状态 公告 

发 送 的 外 部 路 由 信息 。 
2) OSPF 网 络 类 型 
网 络 的 物理 连接 和 拓扑 结构 不 同 ， 交 换 路 由 信息 的 方式 就 不 同 。OSPF 将 路 由 器 连接 的 物 
理 网 络 划 分 为 4 种 类 型 。 
。 点 对 点 网 络 : 例如 一 对 路 由 器 用 64kb 的 串 行 线路 连接 ， 就 属于 点 对 点 网 络 ， 在 这 种 
网 络 中 ， 两 个 路 由 器 可 以 直接 交换 路 由 信息 。 

。 广播 多 址 网 络 : 以 太 网 或 者 其 他 具有 共享 介质 的 局 域 网 都 属于 这 种 网 络 。 在 这 种 网 络 
中 ， 一 条 路 由 信息 可 以 广播 给 所 有 的 路 由 器 。 

。 ， 非 广播 多 址 网 络 (Non-Broadcast Multi-Access，NBMA): 例如 X.25 分 组 交换 网 就 属 
于 这 种 网 络 ， 在 这 种 网 络 中 可 以 通过 组 播 方式 发 布 路 由 信息 。 

。 ”点 到 多 点 网 络 : 可 以 把 非 广播 网 络 当 作 多 条 点 对 点 网 络 来 使 用 ， 从 而 把 一 条 路 由 信息 
发 送 到 不 同 的 目标 。 

如 果 两 个 路 由 器 都 通过 各 自 的 接口 连接 到 一 个 共同 的 网 络 上 , 则 它们 是 邻居 (Neighboring) 
关系 。 路 由 器 通过 OSPF 的 Hello 协议 来 发 现 邻居 。 路 由 器 可 以 在 其 邻居 中 选择 需要 交换 链 路 
状态 信息 的 路 由 器 ， 与 之 建立 毗邻 关系 (Adjacency)。 另 外 ， 并 不 是 每 一 对 邻居 都 需要 交换 路 
由 信息 ， 因 此 不 是 每 一 对 邻居 都 要 建立 毗邻 关系 。 在 一 个 广播 网 络 或 NBMA 网 络 中 要 选 一 个 
指定 路 由 器 (Designated Router，DR)， 其 他 的 路 由 器 都 与 DR 建立 毗邻 关系 ,把 自己 掌握 的 链 
路 状态 信息 提交 给 DR， 由 DR 代表 这 个 网 络 向 外 界 发 布 。 可 以 看 出 ，DR 的 存在 减少 了 毗邻 关 
系 的 数量 ， 从 而 也 减少 了 向 外 发 布 的 路 由 信息 量 。 
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3) OSPF 路 由 器 
在 多 区 域 网 络 中 ，OSPF 路 由 器 可 以 按 不 同 的 功能 划分 为 以 下 4 种 。 
内 部 路 由 器 : 所 有 接口 在 同一 区 域内 的 路 由 器 ， 只 维护 一 个 链 路 状态 数据 库 。 


主干 路 由 器 : 具有 连接 主干 区 域 接口 的 路 由 器 。 





区 域 边界 路 由 器 ABR: 连接 多 个 区 域 的 路 由 器 ， 一 般 作为 一 个 区 域 的 出 口 。ABR 为 


每 一 个 连接 的 区 域 建立 一 个 链 路 状态 数据 库 , 负责 将 所 连接 区 域 的 路 由 摘要 信息 发 送 


到 主干 区 域 ， 而 主干 区 域 上 的 ABR 则 负责 将 这 些 信 息 发 送 给 各 个 区 域 。 





自治 系统 边界 路 由 器 (ASBR): 至 少 拥有 一 个 连接 外 部 自治 系统 接口 的 路 由 器 ， 负责 





将 外 部 非 OSPF 网 络 的 路 由 信息 传 入 OSPF 网 络 。 


4) 链 路 状态 公告 
OSPF 路 由 器 之 间 通 过 链 路 状态 公告 (Link State Advertisement，LSA) 交换 网 络 拓扑 信息 。 
LSA 中 包含 连接 的 接口 、 链 路 的 度量 值 (Metric) 等 信息 。LSA 有 几 种 不 同类 型 的 报 文 ， 参 见 














表 6-7。 
表 6-7 LSA 类 型 
类 型 | 名 称 | 发 送 者 描述 

1 | 路 由 器 LSA fe ee 路 由 器 在 区 域内 连接 的 链 路 状态 
网 络 LSA li DR 在 区 域内 连接 的 各 个 
3 | 网 络 汇总 LSA | ABR ABR 连接 的 本 地 区 域 中 的 链 路 状态 

ASBR 汇总 自治 系统 边界 路 由 器 ASBR 的 可 到 
5 | 名 LSA | AsBR 了 在 要 区 之 外 的 基 | 自治 系统 之 外 的 的 路 由 信息 
6 组 播 LSA 用 于 建立 组 播 分 发 树 
7 Ne 连接 到 NSSA | 不 完全 存根 区 到 达 自 治 系统 之 外 的 目标 的 路 由 

的 ASBR Not-So-Stub-Area 可 以 由 ABR 转换 为 类 型 5 的 LSA 

5) OSPF 报 文 


表 6-8 列 出 了 OSPF 的 5 种 报 文 ， 这 些 报 文通 过 TCP 连接 传送 。OSPF 路 由 器 启动 后 以 固 


定 的 时 间 间 隔 泛 洪 传播 Hello 报 文 ， 采 用 目标 地 址 224.0.0.5 代表 所 有 的 OSPF 路 




















点 网 络 上 每 10 秒 发 送 一 次 , 在 NBMA 网 络 中 每 30 秒 发 送 一 次 。 管 理 Hello 报 文 交换 的 规则 称 
为 Hello 协议 。Hello 协议 用 于 发 现 邻居 ， 建 立 毗 邻 关 系 ， 还 用 于 选 出 区 域内 的 指定 路 由 器 DR 
和 备份 指定 路 由 器 BDR。 


类 型 


表 6-8 OSPF 的 5 种 报 文 类 型 
报 文 类 型 功能 描述 





Hello 


用 于 发 现 相 邻 的 路 由 器 





数据 库 描述 DBD (DataBase Description) 表示 发 送 者 的 链 路 状态 数据 库 内 容 





链 路 状态 请 求 LSR (Link-State Request) 向 对 方 请 求 链 路 状态 信息 





wl | 一 





链 路 状态 更 新 LSU (Link-State Update) 向 邻居 路 由 器 发 送 链 路 状态 通告 





在 正常 情况 下 ， 





链 路 状态 应 答 LSAck (Link-State Acknowledgement) | 对 链 路 状态 更 新 报 文 的 应 答 





区 域内 的 路 由 器 与 本 区 域 的 DR 和 BDR 通过 互相 发 送 数 据 库 描述 报 文 


(DBD ) 交换 链 路 状态 信息 。 路 由 器 把 收 到 的 链 路 状态 信息 与 自己 的 链 路 状态 数据 库 进行 比较 ， 
如 果 发 现 接收 到 了 不 在 本 地 数据 库 中 的 链 路 信息 ， 则 向 其 邻居 发 送 链 路 状态 请 求 报 文 LSR， 要 
求 传送 有 关 该 链 路 的 完整 更 新 信息 。 接 收 到 LSR 的 路 由 器 用 链 路 状态 更 新 LSU 报 文 响应 ， 其 
中 包含 了 有 关 的 链 路 状态 通告 LSA。LSAck 用 于 对 LSU 进行 确认 。 

OSPF 报 文 格式 如 图 6-37 所 示 ， 对 报 文 头 的 各 个 字段 解释 如 下 。 





























0 8 16 31 
版 本 类 型 分 组 长 度 
路 由 器 ID 
区 域 ID 
校 验 和 认证 类 型 











认 证 











认 





(a) OSPF 报 文 头 
| 一 2 第 一 





(b) OSPF 报 文 


图 6-37 OSPF 报 文 格式 


e。 ”版 本 : OSPF 版 本 1 已 废弃 ， 现 在 使 用 的 是 版 本 2。 
。 ”类 型 : 如 表 6-7 所 示 。 
。 ”分 组 长 度 : 整个 OSPF 报 文 的 长 度 。 


。 ”路 由 器 人 D: 


利用 路 由 器 环 路 接口 (Loopback) 的 下 地址 作为 路 由 器 的 标识 ， 如 果 没 


有 环 路 接口 瑟 地 址 ， 则 选择 最 大 的 接口 他 地 址 作为 路 由 器 标识 。 
。 ”区 域 D: 在 多 区 域 网 络 中 ， 每 一 个 区 域 指定 一 个 区 域 人 D。 
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。 ”认证 类 型 .OSPF 支持 不 同 的 认证 方法 ， 对 组 播 地 址 224.0.0.5 发 送 的 Hello 分 组 要 经 
过 认证 才能 被 接收 。 

6) OSPF 的 优 缺 点 

链 路 状态 协议 的 优点 如 下 : 

(1) 链 路 状态 协议 使 用 了 分 层 的 网 络 结构 ， 减 小 了 LSA 的 传播 范围 ， 同 时 也 减 小 了 网 络 
拓扑 变化 时 影响 所 有 路 由 器 的 可 能 性 。 与 之 相反 ， 距 离 矢量 网 络 是 扁平 结构 ， 网 络 某 一 部 分 出 
现 的 变化 会 影响 到 网 络 中 的 所 有 路 由 器 。 这 种 情况 在 链 路 状态 网 络 中 不 会 出 现 ， 例 如 在 OSPF 
协议 中 ， 一 个 分 区 内 部 的 拓扑 变化 不 会 影响 其 他 分 区 。 

(2) 链 路 状态 协议 使 用 组 播 来 共享 路 由 信息 ， 并 且 发 布 的 是 增 量 式 的 更 新 消息 。 一 旦 所 有 
的 链 路 状态 路 由 器 开始 工作 并 了 解 了 网 络 拓扑 结构 之 后 ， 只 是 在 网 络 拓扑 出 现 变化 时 才 发 出 更 
新 报 文 ， 这 使 得 网 络 带 宽 的 利用 和 资源 消耗 更 有 效 。 

(3) 链 路 状态 协议 支持 无 类 别 的 路 由 和 路 由 汇总 功能 ， 可 以 使 用 VLSM 和 CIDR 技术 。 路 
由 汇总 使 得 发 布 的 路 由 信息 更 少 。 一 条 汇总 路 由 失效 ， 意 味 着 其 中 的 所 有 子 网 都 失效 了 ， 如 果 
只 是 其 中 的 部 分 链 路 失效 ， 则 不 会 影响 汇总 路 由 的 状态 ， 也 不 会 影响 网 络 中 的 很 多 路 由 器 。 路 
由 汇总 还 使 得 链 路 状态 数据 库 减 小 ,从 而 减少 了 运行 SPF 算法 和 更 新 路 由 表 需 要 的 CPU 周期 ， 
也 减少 了 路 由 器 中 的 存储 需求 。 

(4) 使 用 SPF 算法 不 会 在 路 由 表 中 出 现 环 路 ， 而 这 是 距离 矢量 路 由 协议 难以 处 理 的 问题 。 

链 路 状态 协议 也 有 一 个 明显 的 缺点 ， 它 比 距离 矢量 协议 对 CPU 和 存储 器 的 要 求 更 高 。 链 
路 状态 协议 需要 维护 更 多 的 存储 表 ， 例 如 邻居 表 、 路 由 表 和 链 路 状态 数据 库 等 。 当 网 络 中 出 现 
变化 时 ， 路 由 器 要 更 新 链 路 状态 数据 库 ， 运 行 SPF 算法 ， 建 立 最 小 生成 树 ， 并 重建 路 由 表 ， 这 
需要 耗费 很 多 CPU 周期 来 完成 诸如 计算 新 的 路 由 度量 、 与 当前 的 路 由 表 项 进行 比较 等 操作 。 如 
果 在 链 路 状态 网 络 中 出 现 了 一 条 连续 翻转 (Flapping) 的 路 由 ,特别 是 以 10 一 15s 的 周期 连续 翻 
转 时 ， 这 种 情况 将 是 灾难 性 的 ， 会 使 许多 路 由 器 的 CPU 因 不 堪 重 负 而 崩溃 。 


6.7.4 ”核心 网 关 协 议 


Internet 中 有 一 个 主干 网 ， 所 有 的 自治 系统 都 连接 到 主干 网 上 。 这 样 ，Itemet 的 总 体 结构 
如 图 6-38 所 示 ， 分 为 主干 网 和 外 围 部 分 ， 后 者 包含 所 有 的 自治 系统 。 

主干 网 中 的 网 关 叫 核心 网 关 。 核心 网 关 之 间 交换 路 由 信息 时 使 用 核心 网 关 协 议 (Gateway to 
Gateway Protocol，GGP)。 这 里 要 区 分 EGP 和 GGP，EGP 用 于 两 个 不 同 自治 系统 之 间 的 网 关 
交换 路 由 信息 ， 而 GGP 是 主干 网 中 的 网 关 协 议 。 因 为 主干 网 中 的 核心 网 关 是 由 InterNOC 直接 
控制 的 ， 所 以 GGP 更 具有 专用 性 。 当 一 个 核心 网 关 加 入 主干 网 时 用 GGP 协议 向 邻 机 广播 发 送 
路 由 信息 ， 各 邻 机 更 新 路 由 表 ， 并 进一步 传播 新 的 路 由 信息 。 












































第 6 章 网 络 互 连 与 互联 网 “ 国 25 医 


冰 费 国字 





图 6-38 ”Intemet 的 总 体 结构 


网 关 交 换 的 路 由 信息 与 EGP 协议 类 似 ， 指 明 网 关连 接 哪些 网 络 ， 距 高 是 多 少 ， 距 离 也 是 
以 中 间 网 关 个 数 计数 。GGP 协议 的 报 文 格式 与 EGP 类 似 。 报 文 分 为 以 下 4 类 。 

。 ”路 由 更 新 报 文 : 发 送 路 由 信息 。 

。 ”应 答 报 文 : 对 路 由 更 新 报 文 的 应 答 ， 分 肯定 、 否 定 两 种 。 

。 ”测试 报 文 : 测试 相 邻 网 关 是 否 存 在 。 

。 ”网 络 接口 状态 报 文 : 测试 本 地 网 络 连接 的 状态 。 


6.8 路 由 器 技术 


在 因特网 发 展 过 程 中 还 有 许多 问题 需要 解决 。 问 题 之 一 是 随 着 网 络 互 连 规模 的 扩大 和 信息 
流量 的 增加 ， 路 由 器 逐渐 成 为 网 络 通信 的 瓶颈 。 自 从 20 世纪 80 年 代 以 来 ， 路 由 器 以 其 高 度 的 
灵活 性 和 安全 性 在 局 域 网 分 隔 和 广 域 互 连 中 得 到 了 广泛 应 用 ， 然 而 路 由 器 是 无 连接 的 设备 ， 它 
对 每 个 数据 报 独立 地 进行 路 由 选择 ， 哪 怕 是 同一 对 主机 之 间 的 通信 ， 都 要 对 各 个 数据 包 单独 处 
理 ， 这 样 的 开销 使 得 路 由 器 的 春 吐 率 相 对 于 交换 机 大 为 降低 。 解 决 这 个 问题 的 方法 已 经 提出 了 
许多 种 ， 都 可 归纳 为 第 三 层 交 换 技术 ， 随 后 将 介绍 这 些 技术 。 

因特网 面临 的 另外 一 个 问题 是 人 P 地 址 短缺 问题 。 解 决 这 个 问题 有 所 谓 长 期 的 或 短期 的 两 
种 解决 方案 。 长 期 的 解决 方案 就 是 使 用 具有 更 大 地 址 空间 的 IPv6 协议 , 短期 的 解决 方案 有 网 络 
地 址 翻译 (Network Address Translators, NAT) 和 无 类 别 的 域 间 路 由 技术 (Classless Inter Domain 
Routing，GIDR) 等 ， 这 些 技术 都 是 在 现 有 的 IPv4 路 由 器 中 实现 的 。 





旺 230 若 。 网 络 工程 山 教 程 (第 5 版 ) 


6.8.1 NAT 技术 


NAT 技术 主要 解决 IP 地 址 短缺 问题 ， 最 初 提出 的 建议 是 在 子 网 内 部 使 用 局 部 地 址 ， 而 在 
子 网 外 部 使 用 少量 的 全 局 地 址 ， 通 过 路 由 器 进行 内 部 和 外 部 地 址 的 转换 。 局 部 地 址 是 在 子 网 内 
部 独立 编 址 的 ， 可 以 与 外 部 地 址 重 毒 。 这 种 想法 的 基础 是 假定 在 任何 时 候 子 网 中 只 有 少数 计算 
机 需要 与 外 部 通信 , 可 以 让 这 些 计算 机 共享 少量 的 全 局 人 P 地 址 。 后 来 根据 这 种 技术 又 开发 出 其 
他 一 些 应 用 ， 下 面 讲述 两 种 最 主要 的 应 用 。 

第 一 种 应 用 是 动态 地 址 翻译 (Dynamic Address Translation )。 为 此 首先 引入 存根 域 的 概念 ， 
所 谓 存根 域 (Stub Domain)， 就 是 内 部 网 络 的 抽象 ， 这 样 的 网 络 只 处 理 源 和 目标 都 在 子 网 内 部 
的 通信 。 任 何 时 候 存 根 域内 只 有 一 部 分 主机 要 与 外 界 通信 ， 甚 至 还 有 许多 主机 可 能 从 不 与 外 界 
通信 ， 所 以 整个 存根 域 只 需 共享 少量 的 全 局 中 地址。 存根 域 有 一 个 边界 路 由 器 ， 由 它 来 处 理 域 
内 主机 与 外 部 网 络 的 通信 。 在 此 做 以 下 假定 。 

。 mm: 需要 翻译 的 内 部 地 址 数 。 

。 nn: 可 用 的 全 局 地 址 数 “NAT 地 址 )。 

当 m:n 翻译 满足 条 件 〈m>1 and m>n) 时 ， 可 以 把 一 个 大 的 地 址 空间 映像 到 一 个 小 的 地 址 
空间 。 所 有 NAT 地 址 放 在 一 个 缓冲 区 中 , 并 在 存根 域 的 边界 路 由 器 中 建立 一 个 局 部 地 址 和 全 局 
地 址 的 动态 映像 表 ， 如 图 6-39 所 示 。 

SRC 138.201.148.32 六 | 




















SRC 178.201.112.34 





NAT 路 由 器 


SRC 178.201.112.11 
DST 178.2201.112.11 


SRC 138.201.148.151 | 
DST 138.201.148.151… 


| 

















| 动态 NAT 表 

| 内 部 卫 NAT IP 
138.201.14832 178.201.112.34 SRC : 源 地 址 
138.201.148.151 178.201.112.11 DST : 目标 地 址 








图 6-39 动态 网 络 地 址 翻译 


这 个 图 显示 的 是 把 所 有 B 类 网 络 138.201.0.0 中 的 下 地 址 翻译 成 C 类 网 络 178.201.112.0 中 
的 中 地 址 。 这 种 NAT 地 址 重用 有 以 下 特点 : 
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(1) 只 要 缓冲 区 中 存在 尚未 使 用 的 C 类 地 址 ， 任 何 从 内 向 外 的 连接 请 求 都 可 以 得 到 响应 ， 
并 且 在 边界 路 由 器 的 动态 NAT 表 为 之 建立 一 个 映像 表 项 。 

(2) 如 果 内 部 主机 的 映像 存在 ， 可 以 利用 它 建立 连接 。 

(3) 从 外 部 访问 内 部 主机 是 有 条 件 的 ， 即 动态 NAT 表 中 必须 存在 该 主机 的 映像 。 

动态 地 址 翻译 的 好 处 是 节约 了 全 局 IP 地 址 ， 而 且 不 需要 改变 子 网 内 部 的 任何 配置 ， 只 需 
在 边界 路 由 器 中 设置 一 个 动态 地 址 变换 表 就 可 以 工作 了 。 

另外 一 种 特殊 的 NAT 应 用 是 m:1 翻译 ， 这 种 技术 也 叫 作 伪装 〈Masquerading)， 因 为 用 一 
个 路 由 器 的 人 P 地 址 可 以 把 子 网 中 所 有 主机 的 下 地 址 都 隐藏 起 来 。 如 果子 网 中 有 多 个 主机 同时 
都 要 通信 ， 那 么 还 要 对 端口 号 进行 翻译 ， 所 以 这 种 技术 经 常 被 称 为 网 络 地 址 和 端口 翻译 
(Network Address Port Translation， NAPT)。 在 很 多 NAPT 实现 中 专门 保留 一 部 分 端口 号 给 伪装 
使 用 ， 叫 作伪 装 端口 号 。 图 6-40 中 的 NAT 路 由 器 中 有 一 个 伪装 表 ， 通 过 这 个 表 对 端口 号 进行 
翻译 ， 从 而 隐藏 了 内 部 网 络 138.201.0.0 中 的 所 有 主机 。 


SRC 138.201.148.32 : 1275 
DST 193.46 94.115 : 80 








SRC 195.112.12.161: 63451 
DST 193.46.94.115:80 







一 








SRC 138.201.160.201: 4192 
DST 53.12.198.15 : 23 


。 | SRC 195.112.12.161: 63452 
" DST 53.12.198.15: 23 


























伪装 NAT 表 
内 部 IP/ 端口 号 本 地 NAT 端 口 
138.201.148.32:1275 63451 SRC : 源 地 址 
138.201.160.201:4192 63452 DST : 目标 地 址 
图 6-40 ”地 址 伪装 


可 以 看 出 ， 这 种 方法 有 以 下 特点 : 

(1) 出 口 分 组 的 源 地 址 被 路 由 器 的 外 部 下 地 址 所 代替 ， 出 口 分 组 的 源 端口 号 被 一 个 未 使 
用 的 伪装 端口 号 所 代替 。 

(2) 如 果 进 来 的 分 组 的 目标 地 址 是 本 地 路 由 器 的 中 地 址 ， 而 目标 端口 号 是 路 由 器 的 伪装 
端口 号 ， 则 NAT 路 由 器 就 检查 该 分 组 是 否 为 当前 的 一 个 伪装 会 话 ， 并 试图 通过 伪装 表 对 外 地 
址 和 端口 号 进行 翻译 。 

伪装 技术 可 以 作为 一 种 安全 手段 使 用 ， 借 以 限制 外 部 网 络 对 内 部 主机 的 访问 。 另 外 ， 还 可 
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以 用 这 种 技术 实现 虚拟 主机 和 虚拟 路 由 ， 以 便 达 到 负载 均衡 和 提高 可 靠 性 的 目的 。 
6.8.2 CIDR 技术 


CIDR 技术 可 以 解决 路 由 缩放 问题 。 所 谓 路 由 缩放 问题 ， 有 两 层 含义 : 其 一 是 对 于 大 多 数 
中 等 规模 的 组 织 没有 适合 的 地 址 空间 ， 这 样 的 组 织 一 般 拥 有 几 千 台 主 机 ，C 类 网 络 太 小 ， 只 有 
254 个 地 址 ，B 类 网 络 太 大 ， 有 65 000 多 个 地 址 ，A 类 网 络 就 更 不 用 说 了 ,况且 A 类 和 B 类 地 
址 快要 分 配 完 了 ; 其 二 是 路 由 表 增 长 太 快 ， 如 果 所 有 的 C 类 网 络 号 都 在 路 由 表 中 占 一 行 ， 这样 
的 路 由 表 太 大 了 ， 其 查找 速度 将 无 法 达到 令 人 满意 的 程度 。CIDR 技术 就 是 解决 这 两 个 问题 的 ， 它 
可 以 把 若干 个 C 类 网 络 分 配给 一 个 用 户 ， 并 且 在 路 由 表 中 只 占 一 行 ， 这 是 一 种 将 大 块 的 地 址 空 
间 合 并 为 少量 路 由 信息 的 策略 。 
为 了 说 明 CIDR 的 原理 ， 假 定 网 络 服务 提供 商 RA 有 一 个 由 2048 个 C 类 网 络 组 成 的 地 址 
块 ， 网 络 号 为 192.24.0.0 一 192.31.255.0， 这 种 地 址 块 叫 作 超 网 (supernet)。 对 于 这 个 地 址 块 的 
路 由 信息 ， 可 以 用 网 络 号 192.24.0.0 和 地 址 掩 码 255.248.0.0 来 表示 ， 简 写 为 192.24.0.0/13。 
再 假定 RA 连接 以 下 6 个 用 户 。 
。 用户 C1: 最 多 需要 2048 个 地 址 ， 即 8 个 C 类 网 络 。 
。 ”用 户 C2: 最 多 需要 4096 个 地 址 ， 即 16 个 C 类 网 络 。 
e。 ”用户 C3: 最 多 需要 1024 个 地 址 ， 即 4 个 C 类 网 络 。 
。 用户 C4: 最 多 需要 1024 个 地 址 ， 即 4 个 C 类 网 络 。 
。 ”用 户 C5: 最 多 需要 512 个 地 址 ， 即 两 个 C 类 网 络 。 
。 ， 用户 C6: 最 多 需要 512 个 地 址 ， 即 两 个 C 类 网 络 。 
假定 RA 对 6 个 用 户 的 地 址 分 配 如 下 。 
。 Cl: 分 配 192.24.0 一 192.24.7。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.0.0 和 掩 码 255.255. 
248.0 表示 ， 简 写 为 192.24.0.0/21。 
。 C2: 分 配 192.24.16 一 192.24.31。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.16.0 和 掩 码 255.255. 
240.0 表示 ， 简 写 为 192.24.16.0/20。 
。 C3: 分 配 192.24.8 一 192.24.11。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.8.0 和 掩 码 255.255. 
252.0 表示 ， 简 写 为 192.24.8.0/22。 
。  C4: 分 配 192.24.12 一 192.24.15。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.12.0 和 掩 码 255.255. 
252.0 表示 ， 简 写 为 192.24.12.0/22。 
。  C5: 分 配 192.24.32 一 192.24.33。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.32.0 和 掩 码 255.255. 
254.0 表示 ， 简 写 为 192.24.32.0/23。 
。  C6: 分 配 192.24.34 一 192.24.35。 这 个 网 络 块 可 以 用 超 网 路 由 192.24.34.0 和 掩 码 255.255. 
254.0 表示 ， 简 写 为 192.24.34.0/23 。 
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还 假定 C4 和 C5 是 多 宿主 网 络 (multi-homed network)， 除 了 RA 之 外 还 与 网 络 服务 供应 
商 RB 连接 。RB 也 拥有 2 048 个 C 类 网 络 号 ， 为 192.32.0.0 一 192.39.255.0， 这 个 超 网 可 以 用 网 
络 号 192.32.0.0 和 地 址 掩 码 255.248.0.0 来 表示 ， 简 写 为 192.32.0.0/13。 另 外 还 有 一 个 C7 用 户 ， 
原来 连接 RB， 现 在 连接 RA， 所 以 C7 的 C 类 网 络 号 是 由 RB 赋予 的 。 
。 C7: 分 配 192.32.0~192.32.15。 这 个 网 络 块 可 以 用 超 网 路 由 192.32.0 和 掩 码 255.255. 
240.0 表示 ， 简 写 为 192.32.0.0/20。 
对 于 多 宿主 网 络 ， 假 定 C4 的 主 路 由 是 RA， 次 路 由 是 RB; C5 的 主 路 由 是 RB， 次 路 由 是 
RA。 另 外 ， 假 定 RA 和 RB 通过 主干 网 BB 连接 在 一 起 。 这 个 连接 如 图 6-41 所 示 。 





























cl 
192.24.0.0-192.24.7.0 八 192.32.0.0-192.32.15.0 
192.24.0.0/255.255.248.0 192.32.0.0/255.255.240.0 
C2 C7 
人 192.24.12.0-192.24.15.0 
192.24.16.0/255.255.240.0| RA 192.24.12.0/255.255.252.0 RB 
C3 C4 
62 | pe 192.24.32.0-192.24.33.0 
192.24.8.0/255.255.252.0 192.24.32.0/255.255.254.0 
C6 C5 
192.24.34.0-192.24.35.0™| 4 
192.24.34.0/255.255.254.0 
192.24.12.0/255.255.252.0 (C4) 192.24.12.0/255.255.252.0 (C4) 
192.32.0.0/255.255.240.0 (C7) 192.24.32.0/255.255.254.0 (C5) 
192.24.0.0/255.248.0.0 (RA) 192.32.0.0/255.248.0.0 (RB) 


BACKBONE PEER BB 





图 6-41 CIDR 的 例子 


路 由 发 布 遵循 “最 大 匹配 ”的 原则 ， 要 包含 所 有 可 以 到 达 的 主机 地 址 。 据 此 ，RA 向 BB 
发 布 的 路 由 信息 包括 它 拥有 的 网 络 地 址 块 192.24.0.0/13 和 C7 的 地 址 块 192.24.12.0/22。 由 于 C4 
是 多 宿主 网 络 并 且 主 路 由 通过 RA， 所 以 C4 的 路 由 要 专门 发 布 。C5 也 是 多 宿主 网 络 ， 但 是 主 
路 由 是 RB， 所 以 RA 不 发 布 它 的 路 由 信息 。 总 之 ，RA 向 BB 发 布 的 路 由 信息 是 : 
192.24.12.0/255.255.252.0 primary (C4 的 地 址 块 ) 
192.32.0.0/255.255.240.0 primary (C7 的 地 址 块 ) 
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192.24.0.0/255.248.0.0 primary (RA 的 地 址 块 ? 

RB 发 布 的 信息 包括 C4 和 C5， 以 及 它 自 己 的 地 址 块 ，RB 向 BB 发 布 的 路 由 信息 是 : 
192.24.12.0/255.255.252.0 secondary 《C4 的 地 址 块 ) 
192.24.32.0/255.255.254.0 primary (C5 的 地 址 块 ) 
192.32.0.0/255.248.0.0 primary (RB 的 地 址 块 》 


6.8.3 ”第 三 层 交 换 技术 


所 请 第 三 层 交换 ,是 指 利用 第 二 层 交 换 的 高 带宽 和 低 延迟 优势 尽快 地 传送 网 络 层 分 组 的 技 
术 。 交 换 与 路 由 不 同 ， 前 者 用 硬件 实现 ， 速 度 快 ， 而 后 者 由 软件 实现 ， 速 度 慢 。 三 层 交换 机 的 
工作 原理 可 以 概括 为 : 一 次 路 由 ， 多 次 交换 。 也 就 是 说 ， 当 三 层 交换 机 第 一 次 收 到 一 个 数据 包 
时 必须 通过 路 由 功能 寻找 转发 端口 ， 同 时 记 住 目标 MAC 地 址 和 源 MAC 地 址 ， 以 及 其 他 有 关 
信息 ， 当 再 次 收 到 目标 地 址 和 源 地 址 相同 的 帧 时 就 直接 进行 交换 ， 不 再 调用 路 由 功能 。 所 以 ， 
三 层 交 换 机 不 但 具有 路 由 功能 ， 而 且 比 通常 的 路 由 器 转发 得 更 快 。 

IETF 开发 的 多 协议 标记 交换 (Multiprotocol Label Switching，MPLS，RFC3031) 把 第 2 
层 的 链 路 状态 信息 《带宽 、 延 迟 、 利 用 率 等 ) 集成 到 第 3 层 的 协议 数据 单元 中 ， 从 而 简化 和 改 
进 了 第 3 层 分 组 的 交换 过 程 。 理 论 上 ，MPLS 支持 任何 第 2 层 和 第 3 层 协议 。MPLS 包头 的 位 
置 界 于 第 2 层 和 第 3 层 之 间 ， 可 称 为 第 2.5 层 ， 标 准 格式 如 图 6-42 所 示 。MPLS 可 以 承载 的 报 
文通 常 是 他 包 ， 当 然 也 可 以 直接 承载 以 太 帧 、AAL5 包 ， 甚 至 ATM 信 元 等 。 承 载 MPLS 的 第 
2 层 协议 可 以 是 PPP、 以 太 帧 、ATM 和 帧 中 继 等 ， 如 图 6-43 所 示 。 


链 路 层 头 | MPLS [ma | 其 他 层 的 头 和 数据 























Sa ~、 
到 Se 
有 ~~、、 
| 标记 (20 位 ) | EXP(3) sw | Tus | 
试验 功能 | 
堆栈 位 


图 6-42 MPLS 标记 的 标准 格式 


当 分 组 进入 MPLS 网 络 时 ， 标 记 边 缘 路 由 器 (Label Edge Router，LER) 就 为 其 加 上 一 个 
标记 ， 这 种 标记 不 仅 包 含 了 路 由 表 项 中 的 信息 (目标 地 址 、 带 宽 和 延迟 等 )， 而 且 还 引用 了 下 
头 中 的 源 地址 字段 、 传 输 层 端口 号 和 服务 质量 等 。 这 种 分 类 一 旦 建立 ， 分 组 就 被 指定 到 对 应 的 
标记 交换 通路 (Label Switch Path，LSP) 中 ， 标 记 交 换 路 由 器 (Label Switch Router，LSR) 将 
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根据 标记 来 处 置 分 组 ， 不 再 经 过 第 3 层 转发 ， 从 而 加 快 了 网 络 的 传输 速度 。 
























































PPP | PPP 头 | MPLS 头 全 头 和 数据 
以 大 网 | 以 太 帧 头 | MPLS 头 IP 头 和 数据 
帧 中 继 | Flags DLCI | DLCI | | | DATA FCS Flags 
ATM | GrFc VPI val | mm ctp|HEc| ”DATA 
~ 


图 6-43 ”MPLS 包头 的 位 置 


MPLS 可 以 把 多 个 通信 流 汇聚 成 为 一 个 转发 等 价 类 (Forward Equivalent Class, FEC)。LER 
根据 目标 地 址 和 端口 号 把 分 组 指派 到 一 个 等 价 类 中 , 在 LSR 中 只 需 根据 等 价 类 标记 查找 标记 信 
息 库 (Label Information Base，LIB)， 确 定 下 一 跳 的 转发 地 址 ， 这 样 使 得 协议 更 具 伸 缩 性 。 

MPLS 标记 具有 局 部 性 ， 一 个 标记 只 是 在 一 定 的 传输 域 中 有 效 。 在 图 6-44 中 ， 有 A、B、 
C 三 个 传输 域 和 两 层 路 由 。 在 A 域 和 C 域 内 ，P 包 的 标记 栈 只 有 一 层 标记 Ll1; 而 在 B 域内， 
人 P 包 的 标记 栈 中 有 两 层 标记 Ll 和 L2。LSR4 收 到 来 自 LSR3 的 数据 包 后 ,将 Ll 层 的 标记 换 成 
目标 LSR7 的 路 由 值 ， 同 时 在 标记 栈 增加 一 层 标记 L2, 称 为 入 栈 。 在 B 域内 ， 只 需 根据 标记 栈 
的 最 上 层 L2 标记 进行 交换 即 可 。LSR7 收 到 来 自 LSR6 的 数据 包 后 ， 应 首先 将 数据 包 最 上 层 的 
12 标记 弹出 ， 其 下 层 工 1 标记 变 成 最 上 层 标 记 ， 称 为 出 栈 ， 然 后 在 C 域 中 进行 路 由 处 理 。 





一 传输 方向 


Cr rr 


PP TUTlm ]| 




















图 6-44 多 层 标记 的 例子 


MPLS 转发 处 理 简单 ， 提 供 显 式 路 由 ， 能 进行 业务 规划 ， 提 供 QoS 保障 ， 提 供 多 种 分 类 粒 
度 ， 用 一 种 转发 方式 实现 各 种 业务 的 转发 。 与 下 over ATM 技术 相 比 ，MPLS 具有 可 扩展 性 强 、 
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兼容 性 好 、 易 于 管理 等 优点 。 但 是 ， 如 何 寻 找 最 短路 径 ， 如 何 管理 每 条 LSP 的 QoS 特性 等 技 
术 问 题 还 在 讨论 之 中 。 


6.9 IIP 组 播 技术 





通常 ,一 个 他 地 址 代表 一 个 主机 , 但 D 类 了 王 地 址 指向 网 络 中 的 一 组 主机 。 由 一 个 源 向 
组 主机 发 送信 息 的 传输 方式 称 为 组 播 〈(Multicast)。 现 在 ， 越 来 越 多 的 多 媒体 网 站 利用 卫 组 播 
技术 提供 公共 服务 ， 例 如 IPTV、 网 络 会 议 、 远 程 教育 、 商 业 股票 交易 ， 以 及 在 工作 组 成 员 之 
间 实 时 交换 文件 、 图 片 或 消息 等 。 


6.9.1 组 播 模型 概述 


局 域 网 中 有 一 类 MAC 地 址 是 组 播 地 址 ， 局 域 网 又 是 广播 式 通信 网 络 ， 在 局 域 网 中 实现 组 
播 是 轻而易举 的 事情 。 但 是 在 互联 网 中 实现 组 播 却 不 是 那么 简单 ， 这 主要 是 基于 下 面 的 理由 : 

(1) 不 能 用 广播 的 方式 向 所 有 组 成 员 发 送 分 组 ， 因 为 广播 数据 包 只 能 在 同一 子 网 内 传输 ， 
路 由 器 会 封锁 本 地 子 网 的 边界 ， 禁 止 跨 子 网 的 广播 通信 。 

(2) 即使 采用 广播 方式 在 同一 子 网 中 发 送 组 播 数据 包 ， 也 会 产生 宛 余 的 流量 ， 浪 费 网 络 带 
宽 ， 影 响 非 组 播 成 员 之 间 的 通信 。 

(3) 如 果 采 用 单 播 方式 向 所 有 组 播 成 员 逐 个 发 送 分 组 ， 也 会 产生 多 余 的 分 组 ， 特 别 是 在 接 
近 源 站 的 链 路 上 要 多 次 传送 仅仅 是 目标 地 址 不 同 的 多 个 分 组 。 

组 播 技术 克服 了 上 述 方法 的 缺点 。 每 一 个 组 播 组 被 指定 了 一 个 D 类 地 址 作为 组 标识 符 。 组 
播 源 利 用 组 地 址 作为 目标 地 址 来 发 送 分 组 ， 组 播 成 员 向 网 络 发 出 通知 ， 声 明 它 期 望 加 入 的 组 的 
地 址 。 例 如 ， 如 果 某 个 内 容 与 组 地 址 239.1.1.1 有 关 ， 则 组 播 源 发 送 的 数据 报 的 目标 地 址 就 是 
239.1.1.1， 而 期 望 接 收 这 个 内 容 的 主机 请 求 加 入 这 个 组 。IGMP (Intemet Group Management 
Protocol) 协议 用 于 支持 接收 者 加 入 或 离开 组 播 组 。 一 旦 有 接收 者 加 入 了 一 个 组 ， 就 要 为 这 个 组 
在 网 络 中 构建 一 个 组 播 分 布 树 。 用 于 生成 和 维护 组 播 树 的 协议 有 许多 种 , 例如 独立 组 播 协议 PIM 
(Protocol Independent Multicast) 等 。 

在 人 P 组 播 模 式 下 ， 组 播 源 无 须知 道 所 有 的 组 成 员 ， 组 播 树 的 构建 是 由 接收 者 驱动 的 ， 是 
由 最 接近 接收 者 的 网 络 节点 完成 的 ， 这 样 建立 的 组 播 树 可 以 扩展 到 很 大 的 范围 。 有 人 形容 全 
组 播 模型 是 : 你 在 一 端 注入 分 组 ， 网 络 正好 可 以 把 分 组 提交 给 任何 需要 的 接收 者 。 

组 播 成 员 可 以 来 自 不 同 的 物理 网 络 。 组 播 技术 的 有 效 性 在 于 ,在 把 一 个 组 播 分 组 提交 给 所 
有 组 播 成 员 时 ， 只 有 与 该 组 有 关 的 中 间 节 点 可 以 复制 分 组 ， 在 通 往 各 个 组 成 员 的 网 络 链 路 上 只 
传送 分 组 一 个 副本 。 所 以 利用 组 播 技 术 可 以 提高 网 络 传输 的 效率 ， 减 少 主干 网 拥塞 的 可 能 性 。 
实现 全 组 播 的 前 提 是 组 播 源 和 组 成 员 之 间 的 下 层 网 络 必须 支持 组 播 ， 包 括 下 面 的 支持 功能 
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。 ”主机 的 TCP/IP 实现 支持 他 组 播 。 

。 ”主机 的 网 络 接 口 支持 组 播 。 

。 ”需要 一 个 组 管理 协议 ， 使 得 主机 能 够 自由 地 加 入 或 离开 组 播 组 。 

。 ”全 地 址 分 配 策略 能 够 将 第 三 层 组 播 地 址 映射 到 第 二 层 MAC 地 址 。 

。 ”主机 中 的 应 用 软件 应 支持 亿 组 播 功能 。 

。 ”所 有 介 于 组 播 源 和 组 成 员 之 间 的 中 间 节 点 都 支持 组 播 路 由 协议 。 

卫 组 播 技术 已 经 得 到 了 软 /硬件 厂商 的 广泛 支持 ， 现 在 生产 的 以 太 网 卡 、 路 由 器 、 常 用 的 
网 络 操作 系统 等 都 支持 人 P 组 播 功能 。 对 于 网 络 中 不 支持 人 P 组 播 的 老式 路 由 器 可 以 采用 IP 隧道 
技术 作为 过 渡 的 方案 。 
6.9.2 组 播 地 址 

1. IP 组 播 地 址 的 分 类 





IPv4 的 D 类 地 址 是 组 播 地 址 ， 用 作 一 个 组 的 标识 符 ， 其 地 址 范围 是 224.0.0.0 一 
239.255.255.255。 按 照 约定 ，D 类 地 址 被 划分 为 3 类 。 

。 224.0.0.0 一 224.0.0.255: 保留 地 址 ， 用 于 路 由 协议 或 其 他 下 层 拓 扑 发 现 协议 以 及 维护 
管理 协议 等 ， 例 如 224.0.0.1 代表 本 地 子 网 中 的 所 有 主机 ，224.0.0.2 代表 本 地 子 网 中 
的 所 有 路 由 器 ，224.0.0.5 代表 所 有 OSPF 路 由 器 ，224.0.0.5 代表 所 有 RIP 2 路 由 器 ， 
224.0.0.12 代表 DHCP 服务 器 或 中 继 代理 ，224.0.0.13 代表 所 有 支持 PIM 的 路 由 器 等 。 

。 ”224.0.1.0 一 238.255.255.255: 用 于 全 球 范围 的 组 播 地 址 分 配 ， 可 以 把 这 个 范围 的 D 类 
地 址 动态 地 分 配给 一 个 组 播 组 ， 当 一 个 组 播 会 话 停止 时 ， 其 地 址 被 收回 ， 以 后 还 可 以 
分 配给 新 出 现 的 组 播 组 。 

。 239.0.0.0 一 239.255.255.255: 在 管理 权限 范围 内 使 用 的 组 播 地 址 ， 限 制 了 组 播 的 范围 ， 
可 以 在 本 地 子 网 中 作为 组 播 地 址 使 用 。 


2. 以 太 网 组 播 地 址 


通常 有 两 种 组 播 地址 ， 一 种 是 卫 组 播 地 址 ， 另 一 种 是 以 太 网 组 播 地 址 。 人 P 组 播 地 址 在 互 
联网 中 标识 一 个 组 , 把 他 组 播 数据 报 封装 到 以 太 帧 中 时 要 把 下 组 播 地 址 映像 到 以 太 网 的 MAC 
地 址 ， 其 映像 方式 是 把 四 地 址 的 低 23 位 复制 到 MAC 地 址 的 低 23 位 ， 如 图 6-45 所 示 。 

为 了 避免 使 用 ARP 协议 进行 地 址 分 解 , IANA 保留 了 一 个 以 太 网 地 址 块 0x0100.5E00.0000 
用 于 映像 下 组 播 地 址 ， 其 中 第 1 个 字 节 的 最 低位 是 IJG (IndividualGroup)， 应 设置 为 “1”， 以 
表示 以 太 网 组 播 ， 所 以 MAC 组 播 地址 的 范围 是 0x010 0.SE00.0000 一 0x0100.5SE7FFFFF。 
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一 一 组 地 址 中 的 5 位 被 忽略 
















把 组 地 址 的 低 23 位 
复制 到 以 太 网 地 址 中 





0 1 0 0 5 E 














48 位 以 太 网 地 址 
第 1 个 字 节 中 的 最 低位 置 1 表示 组 播 





图 6-45 组 播 地 址 与 MAC 地 址 的 映像 


按照 这 种 地 址 映像 方式 ，IP 地 址 的 5 位 被 忽略 ， 因 而 造成 了 32 个 不 同 的 组 播 地 址 对 应 于 
同一 个 MAC 地 址 ， 产 生地 址 重 达 现象 。 例 如 ， 考 虑 表 6-9 所 示 的 两 个 D 类 地 址 ， 由 于 最 后 的 
23 位 是 相同 的 ， 所 以 会 被 映像 为 同一 个 MAC 地 址 0x0100.5E1A.0A05。 


表 6-9 组 播 地 址 重合 的 例 
十 进 制 表 示 二 进 制 表 示 十 六 进 制 表示 
224. 26.10.5 11100000.00011010.00001010.00000101 Ox E0.1A.0A.05 
236.154.10.5 11101100.10011010.00001010.00000101 Ox EC.9A.0A.05 


虽然 从 数学 上 说 ， 可 能 有 32 个 ?组 播 地 址 会 产生 重合 ， 但 是 在 现实 中 却 是 很 少 发 生 的 。 
即使 不 幸 出 现 了 地 址 重 车 情况 ， 其 影响 就 是 有 的 站 收 到 了 不 期 望 接收 的 组 播 分 组 ， 这 比 所 有 站 
都 收 到 了 组 播 分 组 的 情况 要 好 得 多 。 在 设计 组 播 系统 时 要 尽量 避免 多 个 人 P 组 播 地 址 对 应 同一 个 
MAC 地 址 的 情况 出 现 ， 同 时 ， 用 户 在 收 到 组 播 以 太 帧 时 ， 要 通过 软件 检查 下 源 地 址 字段 ， 以 
确定 是 否 为 期 望 接收 的 组 播 源 的 地 址 。 


6.9.3 ”因特网 组 管理 协议 
IGMP (Intemet Group Management Protocol) 是 在 IPv4 环境 中 提供 组 管理 的 协议 ， 参 加 组 


播 的 主机 和 路 由 器 利用 IGMP 交换 组 播 成 员 资格 信息 ， 以 支持 主机 加 入 或 离开 组 播 组 。 在 IPv6 
环境 中 ， 组 管理 协议 已 经 合并 到 ICMPv6 协议 中 ， 不 再 需要 单独 的 组 管理 协议 。 


1. IGMP 报 文 





RFC 3376 定义 了 IGMPv3 成 员 资格 询问 和 报告 报 文 ， 也 定义 了 组 记录 的 格式 ， 如 图 6-46 
所 示 。IGMP 报 文 封 装 在 卫 数据 报 中 传输 。 
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类 型 ”| 最 大 响应 时 间 校 验 和 
组 地 址 (D 类 IPv4 地 址 ) 
保 贸 [SRRV QQIC 源 地 址 数 
源 地 址 路 
源 地 址 回 
1 























源 地 址 [N] 
(a) 成 员 资 格 询问 报 文 
类 型 保留 校 验 和 
保留 组 记录 数 
组 记录 叫 
组 记录 器 ] 
































组 记录 IM] 
(Cb) 成 员 资格 报告 报 文 

















记录 类 型 | 辅助 数据 长 度 源 地 址 数 
组 播 地 址 
源 地 址 中 

















源 地址 回 








源 地 址 N] 
辅助 数据 











(c) 组 记录 
图 6-46 IGMPv3 报 文 


成 员 资格 询问 报 文 由 组 播 路 由 器 发 出 ， 分 为 3 种 子 类 型 。 

。 ”通用 询问 : 路 由 器 用 于 了 解 在 它 连 接 的 网 络 上 有 哪些 组 的 成 员 。 

。 ”组 专用 询问 : 路 由 器 用 于 了 解 在 它 连 接 的 网 络 上 一 个 具体 的 组 是 否 有 成 员 。 

。 ”组 和 源 专用 询问 : 路 由 器 用 于 了 解 它 所 连接 的 主机 是 否 愿意 加 入 一 个 特定 的 组 。 
对 成 员 资格 询问 报 文中 的 字段 解释 如 下 。 
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类 型 : 说 明报 文 的 类 型 。 

0x11: 成 员 资格 询问 。 

0x12: 第 一 版 的 成 员 资格 报告 。 

0x16: 第 二 版 的 成 员 资格 报告 。 

0x17: 组 离开 报告 。 

> 0x22: 第 三 版 的 成 员 资格 报告 。 

最 大 响应 时 间 : 说 明 对 询问 报 文 的 响应 时 间 的 最 大 值 ， 单 位 是 1/10s。 

组 地 址 : 对 于 通用 询问 ， 这 个 字段 为 0， 对 于 另外 两 种 询问 ， 这 个 字段 是 一 个 组 地 址 。 
S 标志 : 置 1 时 表示 “抑制 路 由 器 ”(Suppress Router)， 即 禁止 接收 询问 的 组 播 路 由 
器 在 监听 询问 期 间 进行 正常 的 定时 器 更 新 。 

QRV (Querier's Robustness Variable): 健壮 性 变量 RV 表示 一 个 主机 应 该 重 发 多 少 次 
报告 报 文 ， 才 能 保证 不 被 它 所 连接 的 任何 组 播 路 由 器 忽略 。 如 果 这 个 字段 非 0， 则 包 
含 了 询问 报 文 发 送 者 使 用 的 RV 值 。 路 由 器 通常 把 最 近 接 收 到 的 询问 报 文中 的 RV 值 
作为 自己 的 RV 值 ， 除 非 最 近 接 收 到 的 RV 值 是 0， 在 后 一 种 情况 下 ， 接 收 者 使 用 默 
认 的 RV 值 或 者 静态 配置 的 RV 值 。 

QQIC (Querier’s Querier Interval Code): 询问 间隔 QI 表示 发 送 组 播 询问 的 定时 间隔 。 
不 是 当前 询问 报 文 发 送 者 的 组 播 路 由 器 要 采用 最 近 接 收 到 的 询问 报 文中 的 QI 值 作 
为 自己 的 QI 值 ， 除 非 最 近 接 收 到 的 QI 值 是 0， 在 后 一 种 情况 下 ， 接 收 者 使 用 默认 的 
QI 值 。 

源 地 址 数 : 说 明 有 多 少 个 源 地 址 出 现在 该 报 文 中 ， 仅 用 于 源 和 组 专用 的 询问 ， 在 其 他 
询问 报 文 中 这 个 字段 为 0。 

源 地 址 : 如果 源 地 址 数字 段 为 N， 则 有 个 32 位 的 正 单 播 地 址 ， 这 些 组 播 源 指向 同 
一 个 组 播 组 。 


本 Ww 


对 成 员 资格 报告 报 文中 的 字段 解释 如 下 。 


类 型 如 上 面 的 解释 。 
组 记录 数 : 说 明 有 多 少 个 组 记录 出 现在 该 报告 报 文中 。 
组 记录 : 说 明 属 于 一 个 组 的 成 员 的 信息 。 


对 组 记录 的 格式 解释 如 下 。 


记录 类 型 : 组 记录 分 为 以 下 几 种 类 型 。 

> 当前 状态 记录 (Current-State Record): 由 主机 发 送 ， 以 响应 当前 接收 到 的 询问 报 
文 ， 说 明 接口 当前 的 接收 状态 ， 可 能 有 MODE IS INCLUDE (表示 接受 ) 和 
MODE IS_ EXCLUDE 〈 表 示 排 除 ) 两 种 状态 。 
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> 过 滤 模 式 改 变 记 录 (Filter-Mode-Change Record): 表示 过 滤 模 式 由 INCLUDE 改 
变 到 EXCLUDE， 或 者 由 EXCLUDE 改变 到 INCLUDE。 
> 源 列 表 改 变 记录 (Source-List-Change Record): 表示 增加 新 的 源 列表 (ALLOW _ 
NEW_SOURCES) 或 排除 老 的 源 列表 (BLOCK OLD _ SOURCES )。 
。 ”辅助 数据 长 度 ， 用 32 位 的 字 的 个 数 来 表示 辅助 数据 的 长 度 。 
。 ， 源 地 址 数 : 源 地 址 的 个 数 。 
。 ”组 播 地 址 : 该 报告 所 属 的 组 播 组 的 地 址 。 
。 ， 源 地 址 : 如 果 源 地 址 数 是 N， 则 及 个 32 位 的 下 单 播 地 址 。 
。 ”辅助 数据 : 属于 当前 记录 的 附加 数据 ， 目 前 还 没有 定义 辅助 数据 的 值 。 


2. IGMP 操作 


参加 组 播 的 主机 要 使 本 地 LAN 中 的 所 有 主机 和 路 由 器 都 知道 它 是 某 个 组 的 成 员 。 在 
IGMPv3 中 引入 了 主机 过 滤 能 力 ， 主 机 可 以 利用 这 种 方式 通知 网 络 ， 它 期 望 接收 某 些 特殊 的 源 
发 送 的 分 组 (INCLUDE 模式 ), 或 者 它 期 望 接收 除 某 些 特殊 的 源 之 外 的 所 有 其 他 源 发 出 的 分 组 
(EXCLUDE 模式 )。 为 了 加 入 一 个 组 ,主机 要 发 送 成 员 资 格 报告 报 文 , 其 中 的 组 播 地 址 字段 包 
含 了 它 要 加 入 的 组 地 址 , 封装 这 个 IGMP 报 文 的 下 数据 报 的 目标 地 址 字段 也 使 用 同样 的 组 地 址 。 
于 是 ， 这 个 组 的 所 有 成 员 主机 都 会 接收 到 这 个 分 组 ， 从 而 都 知道 了 新 加 入 的 组 成 员 。 本 地 LAN 
中 的 路 由 器 必须 监听 所 有 的 下 组 播 地 址 ， 以 便 接 收 所 有 组 成 员 的 报告 报 文 。 

为 了 维护 一 个 当前 活动 的 组 播 地 址 列表 ,组 播 路 由 器 要 周期 性 地 发 送 IGMP 通用 询问 报 文 ， 
封装 在 以 224.0.0.1 (所 有 主机 ) 为 目标 地 址 的 中 数据 报 中 。 仍然 希 望 保 持 一 个 或 多 个 组 成 员 身 
份 的 主机 必须 读 取 这 种 数据 报 ， 并 且 对 其 保持 成 员 身 份 的 组 回答 一 个 报告 报 文 。 

在 以 上 描述 的 过 程 中 ， 组 播 路 由 器 无 须知 道 组 播 组 中 的 每 一 个 主机 的 地 址 ， 对 于 一 个 组 播 
组 ， 它 只 需要 知道 至 少 有 一 个 组 播 成 员 处 于 活动 状态 就 可 以 了 ， 因 而 ， 接 收 到 询问 报 文 的 每 个 
组 成 员 可 以 设置 一 个 具有 随机 时 延 的 计时 器 ， 任 何 主机 在 了 解 到 本 组 中 已 经 有 其 他 主机 声明 了 
成 员 身份 后 将 不 再 做 出 响应 。 如 果 没 有 看 到 其 他 主机 的 报告 ， 并 且 计 时 器 已 经 超时 ， 则 这 个 
主机 要 发 出 一 个 报告 报 文 。 利 用 这 种 机 制 ， 每 个 组 只 有 一 个 成 员 对 组 播 路 由 器 的 询问 返回 报告 
报 文 。 

当主 机 要 离开 一 个 组 时 ， 它 向 所 有 路 由 器 〈224.0.0.2) 发 送 一 个 组 离开 报告 ， 其 中 的 记录 
类 型 为 EXCLUDE,， 源 地 址 列表 为 空 ， 其 含义 是 该 组 所 有 的 组 播 源 都 被 排除 。 图 6-47 表示 主机 
要 离开 组 239.1.1.1。 当 一 个 路 由 器 收 到 这 样 的 报告 时 ， 它 要 确定 该 组 是 否 还 有 其 他 成 员 存在 ， 
这 时 可 以 利用 组 和 源 专 用 的 询问 报 文 。 














加 242 国 


网 络 工程 师 教程 (第 5 版 





组 离开 报告 











一 个 组 记录 { 





Ox17 | 保留 校 验 和 | 
保留 组 记录 数 -1 | 
i 了 类 型 -Exctu 可 辅助 数据 长 度 -0 源 地 址 数 -0 | 
组 播 地 址 =239.1.1.1 | 
源 地 址 列表 为 空 


图 6-47 组 离开 报告 距离 


一 个 支持 组 播 的 主机 可 能 不 是 任何 组 的 成 员 , 也 可 能 已 经 加 入 了 某 个 组 , 成 为 该 组 的 成 员 。 
当主 机 加 入 了 一 个 组 后 ， 它 可 能 处 于 活动 状态 ， 或 处 于 闲置 状态 ， 这 两 个 状态 之 间 的 区 别 为 是 
否 运 行 该 组 的 报告 延迟 计时 器 。 主 机 的 状态 转换 如 图 6-48 所 示 。 





延迟 成 员 
(Delaying Member) 


6.9.4 组 播 路 由 协议 








| 空闲 成 员 
收 到 询问 ， 开 始 计时 (Idle Member) 


收 到 报告 ， 停 止 计时 





定时 器 超时 ， 发 送 报告 





图 6-48 组 播 主机 的 状态 转换 图 


建立 组 播 树 是 实现 组 播 传输 的 关键 技术 , 图 6-49 (a) 所 示 为 一 个 网 络 的 实际 配置 , 图 6-49 
Cb) 所 示 为 利用 组 播 路 由 协议 生成 的 组 播 树 ， 这 是 以 组 播 源 为 树 根 的 最 小 生成 树 (Spanning 
Tree), 沿 着 这 个 树 从 根 到 叶 的 方向 可 以 把 组 播 分 组 传输 到 所 有 的 组 成 员 用 户 ， 且 分 组 在 每 段 链 


路 上 只 出 现 一 次 。 
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图 6-49 组 播 树 举例 


1. 组 播 树 


建立 组 播 树 要 使 用 组 播 路 由 协议 。 下 面 讲 述 的 路 由 协议 属于 组 播 内 部 网 关 协议 (MIGP)， 
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已 经 提出 了 多 种 MIGP 的 建议 , 包括 DVMRP、MOSPF、CBT、PIM-DM 和 PIM-SM 等 。 目 前 ， 
组 播 外 部 网 关 协 议 (MEGP) 还 在 研发 之 中 ， 尚 没有 具体 的 应 用 。 

组 播 地 址 标识 一 个 会 话 ， 而 不 是 一 个 具体 的 主机 。 组 播 路 由 器 应 该 互相 交换 有 关 组 播 会 话 

的 信息 ， 使 得 各 个 路 由 器 了 解 组 播 成 员 的 分 布 情况 。 对 于 一 个 具体 的 组 播 会 话 ， 即 使 路 由 器 没 
有 任何 成 员 ， 它 也 可 能 需要 知道 哪些 路 由 器 连接 着 该 会 话 的 成 员 。 如 果 路 由 器 加 入 了 组 播 树 ， 
那么 它 就 应 该 知道 ， 在 它 的 哪个 端口 上 存在 哪个 组 的 成 员 ， 并 为 之 生成 相应 的 组 播 分 支 。 当 一 
个 组 成 员 加 入 或 离开 组 播 会 话 时 ， 要 对 组 播 分 支 进行 嫁 接 或 修剪 。 
组 播 树 分 为 两 种 。 所 谓 的 源 专用 树 (Source-Specific Tree) 是 以 每 一 个 组 播 源 为 根 建立 最 
小 生成 树 ，PIM 协议 把 这 种 树 叫 作 最 短 通路 树 (Shortest Path Tree，SPT)。 在 组 播 树 中 使 用 了 
一 种 称 为 反 向 通路 转发 (Reverse Path Forwarding，RPF) 的 技术 来 防止 组 播 分 组 在 网 络 中 循环 
转发 。 按 照 RPF 规则 ， 在 接收 到 由 源 S 向 组 G 发 送 的 组 播报 文 后 ， 路 由 器 必须 〈 利 用 单 播 路 
由 表 ) 对 分 组 到 达 的 链 路 进行 判断 ， 如 果 分 组 到 达 的 链 路 是 通 向 组 播 源 的 最 短 通路 〈 称 为 RPF 
通路 )， 则 这 个 分 组 被 转发 到 属于 分 布 树 的 其 他 端口 ; 如 果 分 组 到 达 的 链 路 不 是 通 向 源 的 最 短 
通路 ， 则 这 样 的 分 组 被 抛弃 。 

另外 一 种 组 播 树 是 共享 分 布 树 。 该 方案 利用 了 由 《一 个 或 多 个 ) 路 由 器 组 成 的 分 布 中 心 来 
生成 一 棵 组 播 树 , 由 这 棵 树 负 责 所 有 组 播 组 的 通信 。 PIM 协议 称 这 种 树 为 约会 点 树 (Rendezvous 
Point Tree，RPT)， 意 为 无 论 哪个 组 播 源 发 送 的 数据 ， 都 先 要 约会 到 这 一 点 ， 然 后 再 沿 着 共享 
分 布 树 流向 各 个 接收 者 ， 需 要 接收 组 播 通信 流 的 主机 都 必须 加 入 共享 分 布 树 。 

组 播 通信 的 固有 特性 就 是 贪 禁地 消耗 带宽 ,所 以 需要 限制 组 播 树 的 扩展 范围 。 可 以 利用 卫 
数据 报头 中 的 TIL 字段 来 限制 组 播 树 生 长 的 高 度 ， 路 由 器 只 转发 其 TIL 字段 大 于 端口 配置 的 
TTIL 门限 的 组 播 数据 报 。 另 外 一 种 限制 组 播 会 话 扩展 范围 的 方法 是 使 用 特殊 的 组 播 地 址 ， 例 如 
RFC 2365 建 议 ， 地 址 块 239.255.0.0/16 用 于 本 地 网 络 ， 地 址 块 239.192.0.0/14 用 于 组 织 管 理 的 范 
围 等 。 


2 密集 模式 路 由 协议 


密集 模式 路 由 协议 (Dense Mode Routing Protocols) 假定 组 播 成 员 密集 地 分 布 在 整个 网 络 
中 ， 而 且 网 络 有 足够 的 带宽 ， 允 许 周期 性 地 通过 泛 洪 传播 来 建立 和 维护 分 布 树 。 典 型 的 密集 环 
境 是 局 域 网 ， 这 种 网 络 中 有 大 量 的 组 播客 户 机 ， 需 要 经 常 地 接收 组 播 信息 。 密 集 模式 路 由 协议 
向 局 域 网 中 到 处 发 布 分 组 ， 除 非 被 告知 不 能 再 向 前 转发 ， 然 后 修剪 掉 不 存在 组 成 员 的 部 分 。 密 
集 模式 路 由 协议 包括 距离 矢量 组 播 路 由 协议 (Distance Vector Multicast Routing Protocol， 
DVMRP)、 组 播 开放 最 短路 径 优先 协议 (Multicast Open Shortest Path First，MOSPF)， 以 及 密 
集 模式 的 独立 组 播 协 议 (Protocol Independent Multicast-Dense Mode，PIM-DM) 等 。 

PIM 引入 了 协议 无 关 的 概念 ， 它 可 以 使 用 任何 单 播 路 由 协议 (OSPF、IS-IS、BGP) 建 立 
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的 路 由 表 来 实现 反 向 通路 转发 (RPF) 检查 ， 这 是 它 与 其 他 组 播 路 由 协议 的 主要 区 别 。 

RFC 3973 建议 ， 为 了 保证 PIM-DM 协议 正常 工作 ， 每 一 个 PIM-DM 路 由 器 都 要 维护 一 个 
树 信息 库 〈Tree Informmation Base，TIB)， 其 中 保存 着 各 个 组 播 树 的 工作 状态 ， 利 用 这 些 状态 可 
以 建立 一 个 组 播 转发 表 ， 以 实现 组 播 数据 报 的 正确 转发 。 

组 播 转发 表 以 地 址 对 〈S，G) 作为 索引 ， 其 中 ，S 表示 组 播 源 的 单 播 地 址 ，G 表示 组 播 会 
话 的 D 类 地 址 。 每 一 个 表 项 还 包含 与 (S，G) 相关 的 定时 器 以 及 路 由 和 状态 信息 。 一 旦 定时 
器 超时 ， 其 他 信息 也 会 被 丢弃 。 

为 了 说 明 PIM-DM 协议 的 工作 过 程 ， 在 此 用 图 6-50 所 示 的 数据 结构 表示 组 播 转发 表 中 的 
有 关 信 息 。 对 于 一 个 组 播 组 (S，G)， 路 由 器 从 输入 端口 (Incoming Interface) 接收 流量 ， 向 通 
向 目标 的 输出 端口 转发 流量 , 各 个 输出 端口 组 成 一 个 输出 端口 表 (Outgoing Interface List, OIL)。 
当 组 播 会 话 开 始 和 结束 时 ， 组 播 树 会 动态 地 改变 ， 组 播 转发 表 项 也 要 随 之 改变 。 


( 源 地 址 S, 组 地 址 G) Incoming Interface | Outgoing Interface List 

















(192.168.1.1, 239.1.1.1) P1/0/0 P1/0/1, P1/0/3 
(192.168.1.2, 239.1.1.2) P2/1/0 P2/1/1, P2/1/4, P2/1/5 


图 6-50 组 播 转发 表 





当 路 由 器 收 到 由 源 S 向 组 播 组 G 发 送 的 组 播 分 组 后 ， 首 先 查 找 组 播 转发 表 : 
。 ”如 果 存 在 对 应 的 “S，G) 表 项 ， 且 分 组 到 达 的 端口 与 mcoming Interface 一 致 ， 则 向 
OIL 中 的 所 有 端口 转发 分 组 。 
。 ”如果 存在 对 应 的 《S，G) 表 项 ， 但 分 组 到 达 的 端口 与 Incoming Interface 不 一 致 ， 则 
对 此 分 组 进行 RPF 检查 。 如 果 检 查 通过 ， 则 将 Incoming Interface 修改 为 分 组 到 达 的 
端口 ， 然 后 向 OIL 中 的 所 有 端口 转发 分 组 。 
。 ”如 果 不 存在 对 应 的 (S，G) 表 项 ， 则 对 分 组 进行 RPF 检查 。 如 果 检 查 通过 ， 则 向 除 
分 组 到 达 端 口 之 外 的 所 有 其 他 端口 进行 转发 ， 并 创建 相应 的 “S，G) 表 项 ， 否 则 丢 
弃 分 组 。 
构建 最 短 通路 树 的 过 程 是 反复 泛 洪 一 修剪 的 过 程 。 当 组 播 源 S 开始 向 组 播 组 G 发 送 数据 
时 ， 组 播 分 组 被 泛 洪 到 网 络 中 的 所 有 区 域 。 这 时 ， 当 一 个 路 由 器 接收 到 组 播 数据 报 后 ， 首 先 通 
过 单 播 路 由 表 进 行 RPF 检查 : 
。 ”如 果 RPF 检查 通过 ， 则 创建 一 个 (S，G) 表 项 ， 然 后 将 数据 向 所 有 下 游 的 PIM-DM 
路 由 器 转发 ， 这 个 过 程 称 为 泛 洪 〈Flooding); 如 果 RPF 检查 未 通过 ， 则 将 报 文 丢弃 。 
这 一 过 程 继续 下 去 ， 所 有 的 PIM-DM 路 由 器 的 各 个 端口 上 都 会 创建 0S，G) 表 项 。 
。 ”如 果 下 游 节点 没有 组 播 成 员 ， 则 向 上 游 节点 发 送 修剪 消息 (Prune)。 上 游 节点 收 到 修 
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剪 消息 后 ， 相 应 端口 的 表 项 (S，G) 就 转 入 “剪断 ”状态 。 修 剪 过 程 持续 到 PIM-DM 
中 仅 剩 下 必要 的 分 支 ， 这 样 就 建立 了 一 棵 以 组 播 源 S 为 根 的 最 短 通 路 树 SPT。 

。 ” 当 一 个 组 播 分 支 处 于 “剪断 ”状态 时 ， 它 不 再 向 下 游 节点 转发 组 播 分 组 ， 但 这 种 状态 
是 有 一 定 生命 周期 的 ， 生 命 周 期 超时 后 ， 数 据 又 沿 着 被 剪 掉 的 分 支 向 下 转发 。 这 种 机 
制 使 得 在 路 由 器 端口 中 反复 建立 和 删除 (S，G) 表 项 。 

。 当 新 的 组 播 用 户 出 现在 一 个 被 剪断 的 区 域 时, 该 用 户 通过 IGMP 报 文 申请 加 入 组 播 组 
G， 与 新 成 员 最 接近 的 路 由 器 向 上 游 节点 发 送 嫁接 消息 〈Graft)， 这 个 消息 逐 跳 向 组 
播 源 S 方向 传递 ， 沿 途 的 中 间 节 点 给 出 的 响应 就 是 恢复 先前 被 剪断 的 分 支 到 “转发 ” 

首先 是 广播 数据 报 ， 然 后 剪 掉 不 需要 的 分 支 ， 这 一 过 程 被 称 为 泛 洪 一 修剪 循环 ， 这 是 所 有 

密集 模式 协议 中 使 用 的 关键 技术 。 


3， 稀 琉 模式 路 由 协议 


稀 疏 模式 路 由 协议 (Sparse Mode Routing Protocols) 适用 于 带宽 小 、 组 播 成 员 分 布 稀疏 的 
互联 网 络 。 在 这 种 网 络 中 , 泛 洪 传输 会 引起 网 络 阻塞 , 所 以 要 使 用 其 他 技术 来 建立 组 播 树 。 CBT 
(Core-Based Trees) 协议 建立 了 一 棵 为 所 有 组 播 会 话 服务 的 组 播 树 ， 而 稀 疏 模式 的 独立 组 播 协 
议 PIM-SM (Protocol Independent Multicast Sparse Mode) 既 可 以 为 每 个 组 播 组 建立 一 个 以 约会 
点 为 树 根 的 共享 树 ， 也 可 以 为 每 个 组 播 源 建立 一 棵 最 短 通路 树 。 

PIM-SM (RFC 4601) 支持 由 接收 者 申请 组 成 员 关 系 的 传统 的 瑟 组 播 模型 ， 其 工作 机 制 的 
要 点 简单 介绍 如 下 。 

(1) 邻居 发 现 : 各 路 由 器 之 间 互 相 发 送 Hello 消息 以 实现 邻居 发 现 ， 这 一 点 与 PIM-DM 
相同 。 

(2) 选举 DR: 通过 Hello 消息 可 以 为 共享 网 络 〈 例 如 Ethernet〉 选 出 一 个 指定 路 由 器 
(Designated Router，DR)。 无 论 是 组 播 源 S 所 在 的 网 络 ， 还 是 与 接收 者 连接 的 网 络 ， 只 要 网 络 
为 共享 介质 ， 则 需要 选举 DR。 分 布 式 选 举 算法 按照 Hello 消息 携带 的 优先 级 最 高 或 IP 地 址 最 
大 来 确定 DR。 

DR 是 本 地 网 段 中 唯一 的 组 播 信息 转发 者 , 接收 者 一 侧 的 DR 向 约会 点 (Rendezvous Point， 
RP) 发 送 加 入 消息 (Join); 源 侧 的 DR 向 RP 发 送 注 册 消 息 (Register)。 

(3) 约会 点 发 现 : 约会 点 通常 是 PIM-SM 区 域 中 的 核心 路 由 器 。 在 小 型 网 络 中 ， 组 播 信息 
量 少 , 全 网 络 只 需要 一 个 RP 就 行 了 ， 这 时 可 以 在 SM 区 域内 各 路 由 器 中 静态 指定 RP。 但 更 多 
的 情况 是 PIM-SM 网 络 规模 很 大 ,通过 RP 转发 的 组 播 信息 量 巨大 ,为 了 缓解 RP 的 通信 和 负担， 
不 同 组 播 组 应 对 应 不 同 的 RP， 这 时 要 通过 自 举 机 制 动 态 选 出 RP。 
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(4) 约会 点 树 的 生成 和 维护 : 如 果 接 收 者 要 加 入 一 个 组 播 组 G， 则 通过 IGMP 报 文通 知 与 
其 直接 相连 的 叶子 路 由 器 。 叶 子路 由 器 掌握 组 播 组 G 的 成 员 信息 ， 它 会 朝 着 RP 方向 往 上 游 节 
点 发 送 加 入 消息 Join。 从 叶子 路 由 器 到 RP 之 间 经 过 的 每 个 路 由 器 都 在 转发 表 中 生成 (*，G) 
表 项 ， 其 中 ，* 表 示 任 意 源 地 址 ， 这 些 路 由 器 就 形成 了 共享 分 布 树 RPT (Rendezvous Point Tree) 
的 一 个 分 支 。RPT 以 RP 为 根 节点 ， 以 接收 者 为 叶子 节点 ， 当 组 播 源 S 发 来 的 G 组 报 文 到 达 
RP 时 ， 就 会 沿 着 RPT 树 传送 到 叶子 路 由 器 ， 进 而 到 达 接 收 者 。 

当 某 个 接收 者 退出 组 播 组 G 时 , 接收 者 一 侧 的 DR 会 沿 着 RPT 树 朝 着 RP 方向 发 送 修剪 消 
息 Prune。 上 游 路 由 器 接收 到 该 修剪 消息 后 ， 在 其 输出 端口 列表 中 删除 连接 下 游 路 由 器 的 端口 ， 
并 检查 其 他 端口 的 下 游 节点 是 否 还 存在 G 组 的 成 员 ， 如 果 没有 则 继续 向 上 游 转发 修剪 消息 。 

(5) 组 播 源 注册 : 为 了 向 RP 通知 组 播 源 S 的 存在 ， 当 组 播 源 S 向 组 播 组 G 发 送 第 一 个 组 
播 分 组 时 ， 与 组 播 源 S 直接 相连 的 路 由 器 就 将 该 报 文 封装 成 注册 报 文 Register， 并 单 播 给 对 应 
的 RP。RP 接收 到 来 自 组 播 源 S 的 注册 消息 后 ， 一 方面 将 组 播 分 组 沿 着 RPT 树 转发 到 接收 者 
另 一 方面 朝 着 组 播 源 $ 方向 逐 跳 转发 (S，G) 加 入 消息 Jion， 从 而 使 得 RP 和 S 之 间 的 所 有 路 
由 器 都 生成 了 〈S，G) 表 项 ， 这 些 经 过 的 路 由 器 就 形成 了 SPT 树 的 一 个 分 支 。 源 SPT 树 以 组 
播 源 S 为 根 ， 以 RP 为 目的 地 。 

组 播 源 S 发 出 的 组 播 分 组 沿 着 已 经 建 好 的 SPT 树 到 达 RP 后 ， 由 RP 将 分 组 沿 着 RPT 共享 
树 进 行 转发 。 同 时 ，RP 向 组 播 源 直 连 的 路 由 器 单 播发 送 注册 停止 报 文 ， 注 册 过 程 结束 。 

(6) RPT 向 SPT 的 切换 : 在 一 个 RPT 树 中 ， 当 接近 组 播 用 户 的 “最 后 一 跳 路 由 器 ”发 现 
组 播 组 G 的 报 文 速率 达到 一 定 的 阔 值 时 ,就 通过 单 播 路 由 表 找 到 通 向 源 S 的 下 一 跳 路 由 器 ， 向 
其 发 送 (S，G) 加 入 消息 ， 这 个 消息 经 过 一 串 路 由 器 到 达 离 组 播 源 S 最 近 的 路 由 器 ， 沿 途 各 个 
路 由 器 都 建立 了 〈S，G) 表 项 ， 从 而 形成 了 SPT 树 的 一 个 分 支 。 随 后 ,“ 最 后 一 跳 路 由 器 ”向 
RP 逐 跳 发 送 修剪 消息 ,，RP 也 利用 类 似 的 过 程 剪断 与 源 S 的 联系 , 这 时 RPT 树 就 完全 切换 到 了 
SPT 树 。 通 过 这 种 方式 建立 SPT 树 ， 比 密集 模式 的 通信 开销 要 小 得 多 。 

PIM 除 有 密集 模式 和 稀疏 模式 之 外 ， 还 有 一 种 双向 PIM 协议 (Bi-directional PIM， 
BIDIR-PIM)， 这 是 密集 模式 和 稀疏 模式 的 混合 方式 。 所 有 的 PIM 协议 共享 相同 的 控制 报 文 。 
PIM 控制 报 文 封装 在 人 P 数据 报 中 传送 ， 可 以 组 播 给 所 有 的 PIM 路 由 器 ， 也 可 以 单 播 到 特殊 的 
目标 。 





6.10 ”IP QoS 技术 


因特网 提供 尽力 而 为 (BestEffort) 的 服务 ， 这 是 它 取得 巨大 成 功 的 主要 原因 之 一 。 但 是 
由 于 因特网 对 服务 质量 不 做 任何 承诺 ， 所 以 对 于 各 种 多 媒体 应 用 不 能 提供 必要 的 支持 ， 这 些 新 
业务 要 求人 P 网 络 提供 新 的 服务 方式 。 
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IETF 成 立 了 专门 的 工作 组 , 一 直 从 事 IP QoS 标准 的 开发 , 首先 是 在 1994 年 提出 了 集成 服 
务 体系 结构 (Integrated Service Architecture，ISA) (RFC 1633)， 继 而 又 在 1998 年 定义 了 区 分 
服务 (Differentiated Service，DiffServ) 技术 规范 (RFC 2475)。 另 外 ， 前 面 讲 到 的 MPLS 技术 
提供 了 显 式 路 由 功能 , 因而 增强 了 在 IP 网 络 中 实施 流量 工程 的 能 力 , 这 也 是 骨干 网 业务 中 最 容 
易 实现 的 一 种 QoS 机 制 。 


6.10.1 集成 服务 


IETF 集成 服务 (IntServ) 工作 组 根据 服务 质量 的 不 同 ， 把 Intemet 服务 分 成 了 3 种 类 型 。 
。 ”保证 质量 的 服务 (Guranteed Services): 对 带宽 、 时 延 、 拌 动 和 丢 包 率 提供 定量 的 保证 。 
。 ”控制 负载 的 服务 (Controlled-load Services): 提供 一 种 类 似 于 网 络 欠 载 情况 下 的 服务 ， 
这 是 一 种 定性 的 指标 。 
。 尽力 而 为 的 服务 (BestEffort): 这 是 Intemet 提供 的 一 般 服 务 ， 基 本 上 无 任何 质量 保证 。 
IntServ 主要 解决 的 问题 是 在 发 生 拥 塞 时 如 何 共享 可 用 的 网 络 带宽 , 为 保证 质量 的 服务 提供 
必要 的 支持 。 在 基于 IP 的 因特网 中 ， 可 用 的 拥塞 控制 和 QoS 工具 是 很 有 限 的 ， 路 由 器 只 能 采 
用 两 种 机 制 ， 即 路 由 选择 算法 和 分 组 丢弃 策略 ， 但 这 些 手段 并 不 足以 支持 保证 质量 的 服务 。 
IntServ 提议 通过 4 种 手段 来 提供 QoS 传输 机 制 。 
(1) 准 入 控制 : IntServ 对 一 个 新 的 QoS 通信 流 要 进行 资源 预约 。 如 果 网 络 中 的 路 由 器 确 
定 没有 足够 的 资源 来 保证 所 请 求 的 QoS， 则 这 个 通信 流 就 不 会 进入 网 络 。 
(2) 路 由 选择 算法 .可 以 基于 许多 不 同 的 QoS 参数 〈 而 不 仅仅 是 最 小 时 延 ) 来 进行 路 由 
选择 。 
(3) 排队 规则 : 考虑 不 同 通信 流 的 不 同 需求 而 采用 有 效 的 排队 规则 。 
(4) 丢弃 策略 : 在 缓冲 区 耗 尽 而 新 的 分 组 来 到 时 要 决定 丢弃 哪些 分 组 以 支持 QoS 传输 。 
为 了 实现 QoS 传输 ， 必 须 对 现 有 的 路 由 器 进行 改造 ， 使 其 在 传统 的 存储 一 转发 功能 之 外 ， 
还 能 够 提供 资源 预约 、 准 入 控制 、 队 列 管理 以 及 分 组 调度 等 高 级 功能 。 图 6-51 所 示 为 ISA 路 由 
器 的 基本 框图 ， 对 其 主要 部 件 解释 如 下 。 
。 ”资源 预约 协议 (Resource Reservation Protocol，RSVP): 按照 通信 流 的 QoS 需求 在 网 
络 中 传送 资源 预约 信 令 。RSVP 要 把 带宽 、 时 延 、 抖 动 和 丢 包 率 等 参数 通知 通路 上 的 
所 有 转发 设备 ， 以 便 建 立 端 到 端的 QoS 保障 。 如 果 通 信 流 的 QoS 请 求 得 到 满足 ， 则 
RSVP 还 要 更 新 路 由 器 中 的 数据 库 ， 以 便 及 时 反映 网 络 通信 资源 的 分 配 情况 。RSVP 
是 从 源 到 目标 单 向 预约 的 ， 适 用 于 点 到 点 以 及 点 到 多 点 的 通信 环境 。 
。 准 入 控制 (Admission Control): 当 一 个 新 的 通信 流 成 功 地 实现 资源 预约 后 就 进入 通信 
阶段 ， 这 时 路 由 器 要 监视 通信 流 的 行为 是 否 违 反 了 网 络 与 用 户 达成 的 合约 ， 以 决定 是 
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否 允 许 新 的 分 组 进入 网 络 。 
,| 「 资源 预约 
路 由 协议 源 信 的 | 一 | 准 入 控制 管理 代理 
-== my 
路 由 数据 库 一 | | | | 
oS 了 而 
分 类 -| Qos 队列 | 
| 路 由 选择 分 组 调度 | Brerren 隐 列 | 一 



































图 6-51 首先 集成 服务 的 路 由 器 


。 ”管理 代理 ， 其 作用 是 修改 通信 控制 数据 库 ， 以 改变 准 入 控制 的 策略 。 
。 ”分 类 器 (Classifier): 根据 预 置 的 规则 对 进入 路 由 器 的 分 组 进行 分 类 。 分 类 的 标准 可 
能 是 源 地 址 、 目 标 地 址 、 上 层 协 议 类 型 、 源 端口 号 和 目标 端口 号 等 。 分 组 经 过 分 类 以 
后 进入 不 同 的 队列 等 待 调度 器 的 转发 服务 。 
。 分 组 调度 器 〈Scheduler): 其 作用 是 根据 预订 的 调度 算法 对 分 类 后 的 分 组 进行 排队 ， 
可 以 使 用 先 来 先 服务 的 算法 , 或 者 更 复杂 的 “公平 ”算法 。 例如 , WFQ (Weighted Fair 
Queueing) 算法 考虑 了 每 个 通信 流 的 分 组 数量 ， 越 忙 的 队列 分 配 越 多 的 容量 ， 而 且 不 
完全 关闭 流量 偏 少 的 队列 (如 图 6-52 所 示 ) 。 调 度 器 根据 分 组 的 类 别 、 通 信 控 制 数据 
库 的 内 容 以 及 输出 端口 的 活动 历史 选择 被 丢弃 的 分 组 ， 决 定 分 组 被 转发 的 优先 顺序 。 
尽管 IntServ 能 提供 QoS 保证 ， 但 经 过 几 年 的 研究 和 发 展 ， 其 中 的 问题 也 逐步 显现 。RSVP 
和 IntServ 在 Internet 应 用 中 还 存在 着 下 面 的 缺陷 。 
(1) IntServ 要 维护 大 量 的 状态 信息 ， 状 态 信息 数量 与 通信 流 的 数量 成 正比 ， 这 需要 在 路 由 
器 中 占用 很 大 的 存储 空间 ， 因 而 这 种 模型 不 具有 扩展 性 。 
(2) 对 路 由 器 的 要 求 很 高 ， 所 有 的 路 由 器 必须 实现 RSVP、 准 入 控制 、 通 信 流 分 类 和 分 组 
调度 等 功能 。 
(3) IntServ 服务 不 适合 于 生存 期 短 的 数据 流 ， 因 为 对 生存 期 短 的 数据 流 来 说 ， 资 源 预约 所 
占 的 开销 太 大 ， 降 低 了 网 络 利用 率 。 
(4) 许多 应 用 需要 某 种 形式 的 QoS， 但 是 无 法 使 用 IntServ 模型 来 表达 QoS 请 求 。 
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Flow 1 _ 一 一 




















Flow2 一 





图 6-52 WFQ 排队 算法 


(5) 必要 的 控制 和 价格 机 制 〈 例 如 访问 控制 、 认 证 和 计 费 等 ) 正 处 于 研发 阶段 ， 目 前 还 无 
法 付 诸 实用 。 


6.10.2 ”区 分 服务 


区 分 服务 (DiffServ) 放弃 了 在 通信 流 沿 路 节点 上 进行 资源 预约 的 机 制 ， 它 将 具有 相同 特 
性 的 若干 业务 流 汇聚 起 来 ， 为 整个 汇聚 流 提 供 服务 ， 而 不 是 面向 单个 业务 流 来 提供 服务 。 
DiffServ 的 关键 技术 介绍 如 下 。 

(1) 每 个 下 分 组 都 要 根据 其 QoS 需求 打上 一 个 标记 , 这 种 标记 称 为 DS 码 点 (DS Code Point， 
DSCP)， 可 以 利用 IPv4 协议 头 中 的 服务 类 型 (Type of Service) 字段 ,或 者 IPv6 协议 头 中 的 通 
信 类 别 〈Traffic Class) 字段 来 实现 ， 这 样 就 维持 了 现 有 的 下 分 组 格式 不 变 。 

(2) 在 使 用 DiffServ 服务 之 前 , 服务 提供 者 与 用 户 之 间 先 要 建立 一 个 服务 等 级 约定 (Service 
LevelAgreement，SLA)。 这 样 ， 在 各 个 应 用 中 就 不 再 需要 类 似 的 机 制 ， 从 而 可 以 保持 现 有 的 应 
用 不 变 。 

(3) Intemet 中 能 实现 区 分 服务 的 连续 区 域 被 称 为 DS 域 (DS Domain)， 在 一 个 DS 域 中 ， 
服务 提供 策略 (Service Provisioning Policies) 和 逐 跳 行为 (PerHop Behavior，PHB ) 都 是 一 致 
的 。PHB 是 (外 部 观察 到 的 ) DS 节点 对 一 个 分 组 的 转发 行为 。 

(4) 具有 相同 DSCP 的 分 组 的 集合 称 为 行为 聚集 (Behavior Aggregate，BA)。 一 个 BA 中 
的 所 有 分 组 都 按照 同一 PHB 进行 转发 。 

(5) 通信 调节 协议 〈Traffc Conditioning Agreement，TCA) 说 明了 分 组 分 类 和 通信 调节 的 
规则 。 分 类 器 用 这 些 规则 对 分 组 进行 筛选 和 分 类 。 

(6) DiffServ 提供 了 内 在 的 通信 流 汇 聚 机 制 ，DS 域 的 边缘 路 由 器 对 输入 流 进行 分 类 ， 并 为 
每 一 类 指定 一 个 相同 的 DSCP， 同 一 类 别 的 通信 流 在 DS 域内 将 按照 相同 的 PHB 进行 转发 。 





(7) DS 域 的 内 部 路 由 器 根据 DSCP 的 值 和 设 定 的 逐 跳 行为 对 分 组 进行 调度 和 转发 。 
DS 工作 组 定义 了 DSCP 与 PHB 的 映射 关系 (如 表 6-10 所 示 )， 同 时 也 允许 因特网 服务 提 
供 商 〈ISP) 自行 定义 具有 本 地 意义 的 映射 关系 。 


表 6-10 DSCP 与 PHB 的 映射 关系 
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DSCP 的 值 占用 下 头 中 ToS 字段 的 前 6 位 〈 两 位 未 用 )，3 位 用 于 定义 转发 优先 级 ，3 位 用 
于 定义 丢弃 优先 级 。 如 果 6 位 全 0， 则 表示 Best-Effort 服务 ， 不 提供 任何 QoS 保障 ， 如 表 6-10 
的 第 1 行 所 示 。 

表 6-10 的 第 2 一 5 行 都 是 保证 转发 (Assured Forwarding，AF) 的 服务 。 这 类 服务 为 卫 分 
组 提供 4 种 不 同 的 转发 特征 ， 对 应 4 种 不 同 数量 的 转发 资源 〈 如 缓冲 区 和 带宽 等 )， 并 且 为 每 
个 分 组 指派 不 同 的 丢弃 优先 级 (如 表 6-11 所 示 )。AF 类 逐 跳 行为 的 共同 特点 是 允许 在 总 流量 不 
超过 预 设 速率 的 前 提 下 以 更 大 的 可 能 性 来 转发 分 组 。 


表 6-11 AF 服务 的 优先 级 


100110 





表 6-10 的 第 6 行 表示 加 速 转发 (Expedited Forwarding，EF) 服务 ,其 DSCP 值 为 101110。 
EF 提供 DS 域内 端 到 端的 QoS 保证 ， 其 特点 是 低 延 迟 、 低 抖动 、 低 丢 包 率 ， 并 且 保 证 带宽 不 
受 其 他 PHB 流量 的 影响 ， 与 传统 的 租用 专线 类 似 。 

图 6-53 表示 因特网 划分 为 DS 域 的 情况 ，DS 域 的 边缘 路 由 器 包含 了 PHB 转发 机 制 ， 也 包 
含 了 更 复杂 的 通信 调节 功能 ， 这 样 就 简化 了 内 部 路 由 器 的 负担 。 边 缘 节 点 的 功能 也 可 以 由 连接 
DS 域 的 主机 来 提供 ， 以 管理 本 地 系统 中 的 应 用 。 

图 6-54 所 示 为 通信 调节 功能 的 操作 原理 ， 其 中 的 分 类 子 功能 的 作用 是 根据 DSCP 把 分 组 
划分 为 不 同 的 行为 聚集 BA， 也 可 以 根据 下 头 中 的 其 他 字段 进行 更 复杂 的 分 类 ; 度量 子 功能 是 
对 提交 的 通信 流 进行 测量 ， 以 确定 其 是 否 遵循 预 置 的 服务 等 级 约定 SLA; 标记 子 功能 是 对 通信 
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流 打 上 需要 的 标记 ， 特 别 对 超过 预 置 特征 〈Profile) 的 分 组 要 给 予 优先 丢弃 的 标记 ; 整形 子 功 
攻 可 以 对 某 些 分 组 进行 必要 的 延迟 ， 以 确保 给 定 类 的 通信 流 不 会 超过 其 预 署 特征 说 明 的 速率 ; 
丢弃 子 功能 是 对 超 流量 的 分 组 选择 性 地 丢弃 。 





边界 路 由 器 内 部 路 由 器 
分 类 、 度 量 。 ”分 类 和 队列 管 
标记 、 整 形 理 

丢弃 





图 6-53 DS 域 的 划分 








Ct ) 度量 器 


| D+-| 分 类 器 ~| 标记 器 整 向 丢弃 上 | 一 


分 组 
























































图 6-54 DS 通信 调节 功能 


与 IntServ 相 比 ，DiffServ 定义 了 一 个 相对 简单 而 粒度 较 粗 的 控制 系统 ，DiffServ 为 整个 汇 
聚 流 提供 服务 ， 具 有 可 扩展 性 ， 能 够 在 大 型 网 络 上 提供 QoS 保障 。 


6.10.3 流量 工程 


流量 工程 (Traffic Engineering，TE) 是 优化 网 络 资源 配置 的 技术 ， 是 利用 网 络 基础 设施 提 
供 最 佳 服务 的 工具 和 方法 ， 无 论 网 络 设备 和 传输 线路 处 于 正常 或 是 部 分 失效 状态 ， 利 用 流量 工 
程 技术 都 可 以 提供 最 佳 的 网 络 服务 。 流 量 工程 是 对 网 络 规划 和 网 络 工程 的 补充 措施 ， 使 得 现 有 
的 网 络 资源 可 以 充分 发 挥 它 的 效益 。 

在 早期 的 核心 网 络 中 ， 流 量 工程 是 通过 路 由 量度 实现 的 ， 即 对 每 条 链 路 指定 一 个 量度 值 ， 
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两 点 之 间 的 路 由 是 按照 预订 策略 计算 量度 值 后 确定 的 。 随 着 网 络 规模 的 扩大 ， 网 络 结构 越 来 越 
复杂 ， 路 由 量度 越 来 越 难 以 实现 了 。 利 用 MPLS 可 以 把 面向 连接 技术 与 IP 路 由 结合 起 来 ， 提 
供 更 多 的 手段 对 网 络 资源 进行 优化 配置 ， 提 供 更 好 的 QoS 保障 和 更 多 的 业务 类 型 ， 这 样 就 形成 
了 基于 MPLS 的 流量 工程 。 

基于 MPLS 的 流量 工程 (MPLS TE) 由 下 面 4 种 机 制 实现 。 

(1) 信息 分 发 。 流 量 工程 需要 关于 网 络 拓扑 的 详细 信息 以 及 网 络 负载 的 动态 信息 ， 这 可 以 
通过 扩展 现 有 的 IGP 来 实现 。 在 路 由 协议 发 布 的 网 络 公告 中 应 该 包含 链 路 的 属性 〈 链 路 带宽 、 
带宽 利用 率 和 带宽 预约 值 等 ), 并 且 通 过 泛 洪 算法 把 链 路 状态 信息 发 布 到 ISP 路 由 域 中 的 所 有 路 
由 器 。 每 一 个 标记 交换 路 由 器 LSR 都 要 维护 一 个 专用 的 流量 工程 数据 库 〈TED)， 记 载 网 络 链 
路 属性 和 拓扑 结构 信息 。 

(2) 通路 选择 。LSR 通过 TED 和 用 户 配 置 的 管理 信息 可 以 建立 显 式 路 由 。MPLS 传输 域 
入 口 处 的 标记 边缘 路 由 器 (LER) 可 以 列 出 LSP 中 的 所 有 LSR 来 建立 严格 的 显 式 路 由 ， 也 可 以 
只 列 出 部 分 LSR 来 建立 松散 的 显 式 路 由 。 

(3) 信 令 协议 。LSP 的 建立 依赖 于 新 的 信 令 控制 协议 ， 其 作用 是 在 通路 建立 过 程 中 传递 和 
发 布 标记 与 LSP 状态 的 绑 定 信息 。 

(4) 分 组 转发 。 一 旦 通路 建立 ，LSR 就 通过 标记 转发 机 制 来 传送 分 组 。 

通过 以 上 功能 ， 可 以 实现 许多 以 前 难以 实现 的 新 业务 。 显 式 路 由 (Explicit Route，ER) 可 
以 把 网 络 流量 引导 到 特定 的 通路 上 ， 以 实现 网 络 负载 的 均衡 分 布 。 如 果 网 络 中 有 VoIP， 也 有 数 
据 通路 ， 则 两 者 会 竞争 资源 ， 所 以 ，VoIP 要 给 予 较 高 的 优先 级 。 优 先 级 分 为 两 种 ， 即 建立 优先 
级 和 保持 优先 级 。 当 一 个 通路 建立 时 , 以 其 建立 优先 级 与 已 建立 的 通路 的 保持 优先 级 进行 比较 ， 
如 果 建 立 优先 级 大 于 保持 优先 级 ， 则 已 建立 的 通路 的 网 络 资源 将 被 后 来 者 抢占 。 在 链 路 失效 情 
况 下 ， 现 有 的 内 部 网 关 协 议 需 要 几 十 秒 时 间 才 能 恢复 。 快 速 重 路 由 功能 在 通路 建立 过 程 中 通过 
信 令 系统 建立 了 备份 路 由 ， 在 链 路 发 生 故 障 时 能 够 及 时 进行 切换 ， 所 以 可 以 对 重要 业务 的 连续 
性 进行 保护 。 这 种 保护 分 为 端 到 端的 通路 保护 和 本 地 保护 ， 后 者 又 进一步 分 为 链 路 保护 和 节点 
保护 。 这 些 都 需要 新 的 信 令 控制 协议 来 提供 支持 。 

MPLS 原来 定义 的 标记 分 发 协议 (LDP) 是 MPLS 网 络 的 信 令 控制 协议 ， 用 于 LSR 之 间 交 
换 标记 与 FEC 绑 定 信 息 , 以 便 建 立 和 维护 LSP。LDP 是 将 网 络 层 路 由 信息 直接 映射 到 数据 链 路 
层 的 交换 路 径 ， 从 而 建立 和 维护 LSP 的 一 系列 消息 和 过 程 。 对 等 的 LSR 实体 之 间 通 过 LDP 消 
息 发 现 邻 居 、 建 立会 话 、 分 发 标记 ， 并 报告 链 路 状态 和 检测 异常 事件 的 发 生 。 但 是 ，LDP 只 能 
根据 路 由 表 来 建立 虚 连接 ， 并 没有 平衡 流量 的 功能 ， 这 是 它 的 局 限 性 。 

为 了 支持 流量 工程 , MPLS 引入 了 新 的 标记 分 发 协议 。 基 于 约束 的 路 由 标记 分 发 协议 (Cons- 
traint-based Routing LDP，CR-LDP) 是 LDP 的 扩展 ， 仍 然 采用 标准 的 LDP 消息 格式 ， 与 LDP 
共享 TCP 连接 。 但 是 ，CR-LDP 可 以 在 标记 请 求 信息 中 包含 节点 列表 ， 从 而 在 MPLS 网 络 中 建 
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立 一 条 显 式 路 由 。CR-LDP 也 人 允许 在 标记 请 求 消息 中 设置 流量 参数 〈 峰 值 速 率 、 承 诺 速率 和 突 
发 特性 等 )， 从 而 为 LSP 提供 QoS 支持 。CR-LDP 还 能 携带 路 由 着 色 等 约束 参数 ， 用 来 标识 一 
个 链 路 的 性 能 ， 例 如 是 否 支 持 VoIP 等 。 

集成 服务 中 定义 的 资源 预约 协议 (RSVP) 用 于 为 通信 流 请 求 QoS 资源 ， 并 且 建 立 和 维护 
通路 状态 。 RSVP-TE 是 RSVP 协议 的 扩展 , 能 够 实现 流量 工程 所 需要 的 各 种 功能 。 在 RSVP-TE 
实现 中 将 RSVP 的 作用 对 象 从 通信 流转 变 为 FEC， 从 而 降低 了 控制 的 粒度 ， 同 时 也 提高 了 网 络 
的 可 扩展 性 。RSVP-TE 能 够 支持 建立 和 维护 LSP 的 附加 功能 ， 如 按 下 游标 记分 发 、 显 式 路 由 、 
带宽 预约 、 资 源 抢占 、LSP 隧道 的 跟踪 、 诊 断 和 重 路 由 等 功能 。 

IETF 提出 了 用 MPLS 支持 DiffServ 的 方法 (RFC 3270)， 能 够 把 DiffServ 的 一 个 或 多 个 
BA 映射 到 MPLS 的 一 条 LSP 上 ， 然 后 根据 BA 的 PHB 来 转发 LSP 上 的 流量 。 

如 果 要 将 BA 映射 到 LSP， 就 要 在 MPLS 包头 中 携带 BA 信息 〈 即 DSCP)。 可 以 把 一 类 具 
有 相同 队列 处 理 要 求 和 调度 行为 ， 但 丢弃 优先 级 不 同 的 PHB 定义 为 一 个 PHB 调度 类 (PHB 
Scheduling Class，PSC)， 这 样 就 可 以 在 MPLS 包头 中 表示 分 组 所 属 的 PSC 以 及 分 组 的 丢弃 优 
先 级 。 

IETF 将 LSP 分 为 以 下 两 类 。 

(1) E-LSP (EXP-Inferred-PSC LSP)。 用 MPLS 包头 的 EXP 字段 把 多 个 BA 指派 到 一 条 
LSP 上 ， 例 如 AF1 有 3 种 不 同 的 丢弃 优先 级 ， 属 于 3 个 不 同 的 BA， 则 可 以 把 这 3 种 AF1 指派 
到 同一 条 LSP 上 。 

由 于 EXP 只 有 3 位 ， 所 以 最 多 只 能 表示 8 种 不 同 的 BA。 当 超过 8 种 BA 时 ， 要 联合 使 用 
MPLS 包头 的 标记 字段 和 EXP 字段 ， 这 就 是 L-LSP。 

(2) L-LSP (Label-Only-Inferred-PSC LSP)。 把 一 条 LSP 指派 给 一 个 BA， 但 是 划分 成 多 个 
不 同 的 丢弃 优先 级 ， 用 MPLS 包头 中 的 标记 字段 来 区 分 不 同 的 调度 策略 ， 用 EXP 字段 表示 不 
同 的 丢弃 优先 级 。 

由 于 MPLS 设备 要 在 每 一 跳 中 交换 标记 值 , 因此 管理 标记 与 DSCP 的 映射 比较 困难 .E-LSP 
比 工 -LSP 更 容易 控制 ， 因 为 可 以 预先 确定 每 个 分 组 的 EXP 与 DSCP 之 间 的 映射 关系 。 


6.11 Internet 应 用 


Intemet 的 进程 /应 用 层 提供 了 丰富 的 分 布 式 应 用 协议 ， 可 以 满足 诸如 办 公 自 动 化 、 信 息 传 
输 、 远 程 文件 访问 、 分 布 式 资源 共享 和 网 络 管理 等 各 方面 的 需要 。 这 一 小 节 简 要 介绍 Intemet 
的 几 种 标准 化 了 的 应 用 协议 Telnet、FTP、SMTP 和 SNMP 等 , 这 些 应 用 协议 都 是 由 TCP 或 UDP 
支持 的 。 与 ISO/RM 不 同 ，Intemet 应 用 协议 不 需要 表示 层 和 会 话 层 的 支持 ， 应 用 协议 本 身 包含 
了 有 关 的 功能 。 
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6.11.1 ”远程 登录 协议 


远程 登录 (Telnet) 是 ARPAnet 最 早 的 应 用 之 一 ， 这 个 协议 提供 了 访问 远程 主机 的 功能 ， 
使 本 地 用 户 可 以 通过 TCP 连接 登录 到 远程 主机 上 ， 像 使 用 本 地 主机 一 样 使 用 远程 主机 的 资源 。 
当 本 地 终端 与 远程 主机 具有 异 构 性 时 ， 也 不 影响 它们 之 间 的 相互 操作 。 

终端 与 主机 之 间 的 异 构 性 表现 在 对 键盘 字符 的 解释 不 同 , 例如 PC 键盘 与 IBM 大 型 机 的 键 
盘 可 能 相差 很 大 ， 使 用 不 同 的 回 车 换行 符 ， 不 同 的 中 断 键 等 。 为 了 使 异 构 性 的 机 器 之 间 能 够 互 
操作 ，Telnet 定义 了 网 络 虚拟 终端 (Network Virtual Terminal，NVT)。NVT 代码 包括 标准 的 
7 位 ASCII 字符 集 和 Telnet 命令 集 。 这 些 字符 和 命令 提供 了 本 地 终端 和 远程 主机 之 间 的 网 络 
接口 。 

Telnet 采用 客户 端 /服务 器 工作 方式 。 用 户 终端 运行 Telnet 客户 程序 ， 远 程 主机 运行 Telnet 
服务 器 程序 。 客 户 端 与 服务 器 程序 之 间 执 行 Telnet NVT 协议 , 而 在 两 端 分 别 执行 各 自 的 操作 系 
统 功 能 ， 如 图 6-55 所 示 。 
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图 6-55 Telnet 客户 端 /服务 器 概念 模型 


Telnet 提供 一 种 机 制 ， 允 许 客户 端 程序 和 服务 器 程序 协商 双方 都 能 接受 的 操作 选项 ， 并 提 
供 一 组 标准 选项 用 于 迅速 建立 需要 的 TCP 连接 。 另 外 ，Telnet 对 称 地 对 待 连接 的 两 端 ， 并 不 是 
专门 固定 一 端 为 客户 端 ， 另 一 端 为 服务 器 端 ， 而 是 允许 连接 的 任 一 端 与 客户 端 程 序 相连 ， 另 一 
端 与 服务 器 程序 相连 。 

Telnet 服务 器 可 以 应 付 多 个 并 发 的 连接 。 通 常 ，Telnet 服务 进程 等 待 新 的 连接 ， 并 为 每 一 
个 连接 请 求 产生 一 个 新 的 进程 。 当 远程 终端 用 户 调用 Telnet 服务 时 ， 终 端 机 器 上 就 产生 一 个 客 
户 程序 ， 客 户 程序 与 服务 器 的 固定 端口 (23) 建立 TCP 连接 ， 实 现 Telnet 服务 。 客 户 程序 接收 
用 户 终 端的 键盘 输入 ， 并 发 送 给 服务 器 。 同 时 服务 器 送 回 字符 ， 通 过 客户 端 软件 的 转换 显示 在 
用 户 终端 上 。 用 户 就 是 通过 这 样 的 方式 来 发 送 Telnet 命令 ， 调 用 服务 器 主机 的 资源 完成 计算 任 
务 。 例 如 ， 当 用 户 在 PC 上 输入 命令 行 telnet alpha， 则 会 从 Intermet 上 收 到 一 个 叫 作 alpha 的 主 
机 的 登录 提示 符 , 在 提示 符 的 指示 下 再 输入 用 户 名 和 口令 字 就 可 以 使 用 alpha 机 器 上 的 资源 了 。 
如 果 从 alpha 机 器 上 退出 ，PC 又 回 到 本 地 操作 系统 控制 之 下 了 。 
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6.11.2 ”文件 传输 协议 


文件 传输 协议 (File Transfer Protocol，FTP) 也 是 Intemet 最 早 的 应 用 层 协 议 。 这 个 协议 用 
于 主机 间 传 送 文 件 ， 主 机 类 型 可 以 相同 ， 也 可 以 不 同 ， 还 可 以 传送 不 同类 型 的 文件 ， 例 如 二 进 
制 文件 或 文本 文件 等 。 

图 6-56 给 出 了 FTP 客户 端 /服务 器 模型 。 客 户 端 与 服务 器 之 间 建 立 两 条 TCP 连接 , 一 条 用 
于 传送 控制 信息 ,一 条 用 于 传送 文件 内 容 .FTP 的 控制 连接 使 用 了 Telnet 协议 , 主要 是 利用 Telnet 
提供 的 简单 的 身份 认证 系统 ， 供 远程 系统 鉴别 FTP 用 户 的 合法 性 。 


















































图 6-56 FTP 的 客户 端 /服务 器 概念 模型 


FTP 服务 器 软件 的 具体 实现 依赖 于 操作 系统 。 一 般 情况 是 , 在 服务 器 一 侧 运行 后 台 进 程 S， 
等 待 出 现在 FTP 专用 端口 (21) 上 的 连接 请 求 。 当 某 个 客户 端 向 这 个 专用 端口 请 求 建立 连接 时 ， 
进程 S 便 激 活 一 个 新 的 FTP 控制 进程 N， 处理 进 来 的 连接 请 求 。 然 后 S 进程 返回 ， 等 待 其 他 客 
户 端 访 问 。 进 程 N 通过 控制 连接 与 客户 端 进行 通信 ， 要 求 客户 在 进行 文件 传送 之 前 输入 登录 标 
识 符 和 口令 字 。 如 果 登 录 成 功 ， 用 户 可 以 通过 控制 连接 列 出 远程 目录 ， 设 置 传 送 方式 ， 指 明 要 
传送 的 文件 名 。 当 用 户 获 准 按照 所 要 求 的 方式 传送 文件 之 后 ， 进 程 N 激活 另 一 个 辅助 进程 D 
来 处 理 数据 传送 。D 进程 主动 开通 第 二 条 数据 连接 端口 号 为 20)， 并 在 文件 传送 完成 后 立即 
关闭 此 连接 ，D 进程 也 自动 结束 。 如 果 用 户 还 要 传送 另 一 个 文件 ， 再 通过 控制 连接 与 N 进程 会 
话 ， 请 求 另 一 次 传送 。 

FTP 是 一 种 功能 很 强 的 协议 ， 除 了 可 以 从 服务 器 向 客户 端 传送 文件 之 外 ， 还 可 以 进行 第 三 
方 传送 。 这 时 客户 端 必须 分 别 开 通 与 两 个 主机 〈 例 如 A 和 B) 之 间 的 控制 连接 。 如 果 客 户 端 获 
准 从 A 机 传 出 文件 和 向 B 机 传 入 文件 ， 则 A 服务 器 程序 就 建立 一 条 到 B 服务 器 程序 的 数据 连 
接 。 客 户 端 保持 文件 传送 的 控制 权 ， 但 不 参与 数据 传送 。 

所 谓 匿名 FTP, 是 这 样 一 种 功能 : 用 户 通过 控制 连接 登录 时 , 采用 专门 的 用 户 标识 符 “anon- 
ymous” 并 把 自己 的 电子 邮件 地 址 作为 口令 输入 , 这 样 可 以 从 网 上 提供 匿名 FTP 服务 的 服务 器 
下 载 文件 。Intemet 中 有 很 多 匿名 FTP 服务 器 ， 提 供 一 些 免费 软件 或 有 关 Internet 的 电子 文档 。 

FTP 提供 的 命令 十 分 丰富 ， 包 括 文件 传送 、 文 件 管理 、 目 录 管 理 和 连接 管理 等 一 般 文件 系 
统 具有 的 操作 功能 ， 还 可 以 用 help 命令 查阅 各 种 命令 的 使 用 方法 。 
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6.11.3 ”简单 邮件 传输 协议 


电子 邮件 (E-mail) 是 Intemet 上 使 用 最 多 的 网 络 服务 之 一 ， 广 泛 使 用 的 电子 邮件 协议 是 
简单 邮件 传输 协议 (Simple Mail Transfer Protocol，SMTP)。 这 个 协议 也 使 用 客户 端 /服务 器 操 
作 方 式 ， 也 就 是 说 ， 发 送 邮件 的 机 器 起 SMTP 客户 的 作用 ， 连 接 到 目标 端的 SMTP 服务 器 上 。 
而 且 只 有 在 客户 端 成 功 地 把 邮件 传送 给 服务 器 之 后 ， 才 从 本 地 删除 报 文 。 这 样 ， 通 过 端 到 端的 
连接 保证 了 邮件 的 可 靠 传 输 。 

发 送 端 后 台 进 程 通过 本 地 的 通信 主机 登记 表 或 DNS 服务 器 把 目标 机 器 标识 变换 成 网 络 地 
址 ， 并 且 与 远程 邮件 服务 器 进程 〈 端 口号 为 25) 建立 TCP 连接 ， 以 便 投递 报 文 。 如 果 连 接 成 
功 ， 发 送 端 后 台 进 程 就 把 报 文 复制 到 目标 端 服务 器 系统 的 假 脱 机 存储 区 ， 并 删除 本 地 的 邮件 报 
文 副 本 ; 如 果 连 接 失败 ， 就 记录 下 投递 时 间 ， 然 后 结束 。 服 务 器 邮件 系统 定期 扫描 假 脱 机 存储 
区 ， 查 看 是 否 有 未 投递 的 邮件 。 如 果 发 现 有 未 投递 的 邮件 ， 便 准备 再 次 发 送 。 对 于 长 时 间 不 能 
投递 的 邮件 ， 则 返回 发 送 方 。 

通常 ，E-mail 地 址 包括 两 部 分 : 邮箱 地 址 〈 或 用 户 名 ) 和 目标 主机 的 域名 。 例 如 ，elinor 
@csucdavis.edu 就 是 一 个 标准 的 SMTP 邮件 地 址 。 

接收 方 从 邮件 服务 器 取 回 邮件 要 用 到 POP3 (Post Office Protocol 第 3 版 ) 协议 ， 当 接收 
用 户 呼叫 ISP 的 邮件 服务 器 时 与 110 端口 建立 TCP 连接 ， 然 后 就 可 以 下 载 邮件 了 ， 如 图 6-57 
所 示 。 


SMTP 服 务 ”POP3 服 务 ) 





2 OO POP3 连 接 


So 0 入 一 0 
发 送 方 


邮件 服务 器 接收 方 








图 6-57 电子 邮件 服务 概念 模型 


SMTP 邮件 采用 RFC 822 规定 的 格式 , 这 种 邮件 只 能 是 用 英语 书写 的 、 采 用 ASCII 编码 的 
文本 (Text) 文件 。MIME (Multipurpose Internet Mail Extensions) 是 SMTP 邮件 的 扩充 ， 定 义 
了 新 的 报 文 结构 和 编码 规则 ， 适 用 于 在 因特网 上 传输 用 多 国文 字 书 写 的 多 媒体 邮件 。 
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6.11.4 超 文本 传输 协议 


WWW (World Wide Web) 服务 是 由 分 布 在 Intemet 中 的 成 千 上 万 个 超 文 本 文档 链接 成 的 网 
络 信息 系统 。 这 种 系统 采用 统一 的 资源 定位 器 和 精彩 鲜艳 的 声音 图 文 用 户 界面 ， 用 户 可 以 方便 
地 浏览 网 上 的 信息 和 利用 各 种 网 络 服务 。WWAW 现 已 成 为 网 民 不 可 缺少 的 信息 查询 工具 。 

WWW 服务 是 欧洲 核子 研究 中 心 (European Center for Nuclear Research，CERN) 开发 的 ， 
最 初 是 为 了 参与 核 物 理 实验 的 科学 家 之 间 通 过 网 络 交流 研究 报告 、 装 置 蓝图 、 图 画 、 照 片 和 其 
他 文档 而 设计 的 一 种 网 络 通信 工具 。1989 年 3 月 ， 物 理学 家 Tim Berners-Lee 提出 初步 的 研究 
报告 ，18 个 月 后 有 了 初始 的 系统 原型 。1993 年 2 月 发 布 了 第 一 个 图 形式 的 浏览 器 Mosaic， 它 
的 作者 Marc Andreesen 在 NCSA (National Center for Supercomputing Applications) 成 立 了 网 景 
通信 公司 (Netscape Communications)， 开 始 提供 Web 服务 器 访问 。 今 天 ， 主 要 的 数据 库 厂商 
(例如 Sybase、Oracle 等 ) 都 支持 Web 服务 器 , 流行 的 操作 系统 都 有 自己 的 Web 浏览 器 。 WWW 
几乎 成 了 Internet 的 同 义 语 。Web 技术 还 被 用 于 构造 企业 内 部 网 (Intranet)。 

Web 技术 是 一 种 综合 性 网 络 应 用 技术 ， 关 系 到 网 络 信息 的 表示 、 组 织 、 定 位 、 传 输 、 显 示 
以 及 客户 和 服务 器 之 间 的 交互 作用 等 。 通 常 文字 信息 组 织 成 线性 的 ASCII 文本 文件 ， 而 Web 
上 的 信息 组 织 是 非 线 性 的 超 文本 文件 (Hypertext ) 。 简 单 地 说 ， 超 文本 可 以 通过 超 链接 
(Hyperlink) 指向 网 络 上 的 其 他 信息 资源 。 超 文本 互相 链接 成 网 状 结构 ， 使 得 人 们 可 以 通过 链 
接 追 索 到 与 当前 节点 相关 的 信息 。 这 种 信息 浏览 方法 正 是 人 们 习惯 的 联想 式 、 跳 跃 式 的 思维 方 
式 的 反映 。 更 具体 地 说 ， 一 个 超 文本 文件 叫 作 一 个 网 页 (Web Page)， 网 页 中 包含 指向 有 关 网 
页 的 指针 《〈 超 链接 )。 如 果 用 户 选择 了 某 一 个 指针 ， 则 有 关 的 网 页 就 显示 出 来 。 超 链接 指向 的 
网 页 可 能 在 本 地 ， 也 可 能 在 网 上 其 他 地 方 。 

Web 上 的 信息 不 仅 是 超 文本 文件 ， 还 可 以 是 语音 、 图 形 、 图 像 和 动画 等 。 就 像 通常 的 多 媒 
体 信息 一 样 ， 这 里 有 一 个 对 应 的 名 称 叫 超 媒体 (Hypermedia)。 超 媒体 包括 了 超 文本 ， 也 可 以 用 
超 链接 连接 起 来 ， 形 成 超 媒体 文档 。 超 媒体 文档 的 显示 、 搜 索 、 传 输 功 能 全 部 都 由 浏览 器 
(Browser) 实现 。 现 在 基于 命令 行 的 浏览 器 已 经 过 时 了 ， 声 像 图 形 结合 的 浏览 器 得 到 了 广泛 的 
应 用 ， 例 如 Netscape 的 Navigator 和 微软 的 Intemet Explorer 等 。 

运行 Web 浏览 器 的 计算 机 要 直接 连接 Internet 或 者 通过 拨号 线路 连接 到 Internet 主机 上 。 
因为 浏览 器 要 取得 用 户 要 求 的 网 页 必须 先 与 网 页 所 在 的 服务 器 建立 TCP 连接 。 WWW 的 运行 方 
式 也 是 客户 端 /服务 器 方式 。Web 服务 器 的 专用 端口 (80) 时 刻 监 视 进来 的 连接 请 求 ， 建 立 连接 
后 用 超 文本 传输 协议 (Hyper Text Transfer Protocol，HTTP) 和 用 户 进行 交互 作用 。 一 个 简单 的 
WWW 模型 如 图 6-58 所 示 。 
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图 6-58 简单 的 WWW 模型 


HTTP 是 为 分 布 式 超 文本 信息 系统 设计 的 一 个 协议 。 这 个 协议 不 仅 简单 有 效 ， 而 且 功 能 强 
大 ， 可 以 传送 多 媒体 信息 ， 适 用 于 面向 对 象 的 作用 ， 是 Web 技术 中 的 核心 协议 。HTTP 协议 的 
特点 是 建立 一 次 连接 ， 只 处 理 一 个 请 求 ， 发 回 一 个 应 答 ， 然 后 连接 就 释放 了 ， 所 以 被 认为 是 无 
状态 的 协议 ， 即 不 能 记录 以 前 的 操作 状态 ， 因 而 也 不 能 根据 以 前 操作 的 结果 连续 操作 。 这 样 做 
固然 有 其 不 方便 之 处 ， 但 主要 的 好 处 是 提高 了 协议 的 效率 。 

浏览 器 通过 统一 资源 定位 器 (Uniform Resource Locators，URL) 对 信息 进行 寻 址 。URL 
由 3 部 分 组 成 ， 指 出 了 用 户 要 求 的 网 页 的 名 字 、 网 页 所 在 主机 的 名 字 以 及 访问 网 页 的 协议 。 例 
如 ，http://www.w3.org/welcome.html 是 一 个 URL,， 其 中 http 是 协议 名 称 ，www.w3.org 是 服务 器 
主机 名 ，welcome.html 是 网 页 文件 名 。 

如 果 用 户 选 择 了 一 个 要 访问 的 网 页 ， 则 浏览 器 和 Web 服务 器 的 交互 过 程 如 下 。 

(1) 浏览 器 接收 URL。 

(2) 浏览 器 通过 DNS 服务 器 查找 www.w3.org 的 了 P 地 址 。 

(3) DNS 给 出 瑟 地 址 18.23.0.32。 

(4) 浏览 器 与 主机 〈18.23.0.32) 的 端口 80 建立 TCP 连接 。 

(5) 浏览 器 发 出 请 求 GET/welcome.html 文件 。 

(6) www.w3.org 服务 器 发 送 welcome.html 文件 。 

(7) 释放 TCP 连接 。 

(8) 浏览 器 显示 welcome.html 文件 。 

其 中 , 第 (5) 步 的 GET 是 HTTP 协议 提供 的 少数 操作 方法 中 的 一 种 ， 其 含义 是 读 一 个 网 
页 。 常 用 的 还 有 HEAD 〈 读 网 页 头 信 息 ) 和 POST (把 消息 加 到 指定 的 网 页 上 ) 等 。 另 外 ， 要 
说 明 的 是 很 多 浏览 器 不 仅 支持 HTTP 协议 , 还 支持 FTP、Telnet 和 Gopher 等 , 使 用 方法 与 HITP 
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完全 一 样 。 

超 文本 标记 语言 (Hyper Text Markup Language，HTML) 是 制作 网 页 的 语言 。 就 像 编辑 程 
序 一 样 ，HTML 可 以 编辑 出 图 文 并 茂 、 色 彩 丰 富 的 网 页 ， 但 这 种 编辑 不 是 像 Microsoft Word 那 
样 的 “所 见 即 所 得 ”的 编辑 方式 ， 而 是 像 “ 华 光 ” 那 种 排版 程序 一 样 ， 在 正文 中 加 入 一 些 排版 
命令 。HTML 中 的 命令 叫 作 “ 标 记 (tag)”， 就 像 编 辑 们 在 稿件 中 画 的 排版 标记 一 样 ， 这 就 是 超 
文本 标记 语言 的 由 来 。 HTML 的 标记 用 一 对 尖 插 号 表示 , 例如 <HEAD> 和 </HEAD> 分 别 表示 网 
页 头 部 的 开始 和 结束 ，<BODY> 和 </BODY> 分 别 表示 网 页 主体 的 开始 和 结束 。 图 6-59 是 一 个 
简单 网 页 的 例子 ， 其 中 <TITLE> 和 </TITLE> 之 间 的 部 分 是 网 页 的 主题 ， 主 题 并 不 显示 ， 有 时 用 
于 标识 网 页 的 窗口 。<H1> 和 </H1> 表 示 第 1 层 标题 ，HTML 允许 最 多 设置 6 层 小 标题 。 最 后 ， 
<P> 表 示 前 一 段 结束 和 下 段 开 始 。 


























<TITLE> 简 单 网 页 的 例子 </TITLE> 
<H1>Welcome to Xi"an Home Page</H1> 
<P>We are so happy that you have chosen to visit this Home page</P> 
<P>You can find all the information you may need.</P> 
(a) HTML 文 件 
Welcome to Xi"an Home Page 


We are so happy that you have chosen to visit this Home Page 


You can find all the information you may need 
(b) 显示 的 网 页 





图 6-59 简单 网 页 的 例子 
最 重要 的 是 HTML 可 以 建立 超 链接 , 指向 Web 中 的 其 他 信息 资源 。 这 个 功能 是 由 标记 <A> 
和 </A> 实 现 的 。 例 如 : 
<A HREF="http://www.nasa.gov">NASA'S home page</A> 
定义 了 一 个 超 链接 。 网 页 中 会 显示 一 行 : 
NASA'S home page 


如 果 用 户 单 击 了 这 一 行 , 则 浏览 器 根据 URL 中 的 http://www.nasa.gov 寻找 对 应 的 网 页 并 显 
示 在 屏幕 上 。HTML 还 能 处 理 表格 、 图 像 等 多 种 形式 的 信息 ， 它 的 强大 的 描述 能 力 使 屏幕 表现 
丰富 多 彩 。 
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用 Java 语言 编写 的 小 程序 (Applets) 嵌入 在 HTML 文件 中 ， 可 以 使 网 页 活动 起 来 ， 用 来 
设计 动态 的 广告 、 卡 通 动画 片 和 瞬息 变换 的 股票 交易 大 屏幕 等 。Java 语言 的 简单 性 、 可 移植 性 、 
分 布 性 、 安 全 性 和 面向 对 象 的 特点 使 它 成 为 网 络 时 代 的 宠儿 。 

与 WWW 有 关 的 另 一 个 重要 协议 是 公共 网 关 接口 Common Gateway Interface，CGI)。 当 
Web 用 户 要 使 用 某 种 数据 库 系 统 时 可 以 写 一 个 CGI 程序 〈 叫 作 脚 本 Scriptby， 作 为 Web 与 数据 
库 服务 器 之 间 的 接口 。 这 种 脚本 程序 使 用 户 可 通过 浏览 器 与 数据 库 服务 器 交互 作用 ， 使 得 在 线 
购物 、 远 程 交易 等 实时 数据 库 访 问 很 容易 实现 。CGI 脚本 程序 跨越 了 不 同 服务 器 的 界限 ， 可 运 
行 在 任何 数据 库 管理 系统 上 。 


6.11.5 ”P2P 应 用 


以 上 介绍 的 网 络 应 用 (文件 传输 、 电 子 邮 件 、 网 页 浏览 等 ) 都 采用 了 C/S 或 B/S 模式 。 另 
外 一 种 应 用 模式 叫 作 点 对 点 应 用 (Peer-to-Peer，P2P)， 在 这 种 模式 中 ， 没 有 客户 机 和 服务 器 的 
区 别 ， 每 一 个 主机 既是 客户 机 ， 又 是 服务 器 ， 它 们 的 角色 是 对 等 的 ， 所 以 ，P2P 是 一 种 对 等 通 
信 的 网 络 模型 。 

其 实 ，P2P 并 不 是 什么 新 概念 ， 在 互联 网 初创 时 期 ，P2P 就 出 现在 1969 年 发 表 的 RFC 1 
文档 中 ，ARPAnet 最 初 被 想象 成 像 电话 网 那样 的 端 到 端的 对 等 通信 系统 。 在 后 来 发 展 的 各 种 
C/S 应 用 中 也 有 P2P 的 影子 ， 例 如 在 SMTP 邮件 系统 中 ， 邮 件 传输 代理 〈Mail Transfer Agents) 
就 是 P2P 通信 模型 的 体现 。Web 技术 发 明 人 Tim Berners-Lee 描 述 的 WWW Editor/Brower 就 是 一 
种 P2P 网 络 模型 ， 他 认为 ， 每 一 个 网 络 用 户 都 可 以 参与 Web 页面 的 编辑 ,通过 超 链接 提供 自己 
贡献 的 内 容 , 这 种 思想 今天 被 网 民 们 命名 为 Web 2.0, 成 为 网 上 热 议 的 话题 , 像 维基 (Wikipedia) 
那样 的 P2P 应 用 则 在 互联 网 上 非常 盛行 。 


1. BitTorrent 协议 


按照 广义 的 解释 ，P2P 模型 是 泛 指 各 种 没有 中 心服 务 器 的 网 络 体系 结构 。 我 们 特别 把 完全 
没有 服务 中 心 ， 也 没有 路 由 中 心 的 网 络 称 为 “ 纯 ”P2P 网 络 。 事 实 上 ， 还 有 大 量 的 网 络 属于 混 
合 型 P2P 系统 。 在 这 种 系统 中 ， 有 一 个 管理 用 户 信息 的 索引 服务 器 ， 任 何 用 户 的 信息 请 求 都 是 
首先 发 送 给 索引 服务 器 ， 再 在 索引 服务 器 的 引导 下 与 其 他 对 等 方 建立 网 络 连接 。 各 个 客户 端 都 
保存 着 一 部 分 信息 资源 ， 并 把 本 地 存储 的 信息 告诉 索引 服务 器 ， 准 备 向 其 他 客户 端 提 供 下 载 服 
务 。BitTorrent 是 最 早出 现 的 P2P 文件 共享 协议 ， 下 面 以 这 个 协议 为 例 介绍 P2P 网 络 的 工作 
原理 。 

首先 定义 ，BitTorrent 客户 端 是 运行 BitTorrent 协议 的 程序 ， 网 络 中 的 对 等 方 (peer) 是 一 
个 运行 客户 端 实例 的 计算 机 。 为 了 共享 一 个 文件 ， 首 先 由 一 个 用 户 生成 一 个 流 文件 (例如 
Myfiletorrent)， 其 中 包含 共享 文件 的 元 数据 。 另 外 ， 还 需要 一 个 叫 作 跟踪 器 (tracker) 的 计算 
机 ， 它 的 任务 是 协调 文件 的 分 发 。 需 要 下 载 文件 的 对 等 方 首先 要 取得 有 关 的 流 文件 ， 并 连接 到 
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跟踪 计算 机 ， 以 便 了 解 从 哪儿 可 以 下 载 到 一 小 段 文件 。BitTorrent 与 Web 浏览 器 不 同 ， 前 者 是 
在 许多 不 同 的 TCP 端口 上 各 自 请 求 一 小 段 数据 ， 而 后 者 是 在 一 个 TCP 端口 上 执行 整个 HTTP 
GET 操作 。 另外 , BitTorrent 下 载 是 随机 的 , 实行 稀有 者 优先 (rarest-first) 下 载 的 原则 , 而 HITP 
是 完全 按 顺 序 下 载 的 。 

这 些 差 别 使 得 BitTorrent 具备 了 低 费 用 、 高 元 余 的 内 容 提 供 机 制 ， 而 且 能 够 抗拒 带宽 滥用 
和 服务 器 过 载 引 起 的 系统 崩溃 。 然 而 这 一 切 也 是 有 代价 的 ， 开 始 时 下 载 很 慢 ， 需 要 一 定 的 时 间 
才能 达到 全 速 下 载 ， 这 是 因为 需要 时 间 来 建立 足够 多 的 有 效 连 接 ， 也 需要 时 间 才 能 使 用 户 接收 
到 足够 多 的 数据 ， 从 而 变 成 有 效 的 上 传 者 。 典 型 的 BitTorrent 下 载 是 逐渐 地 提升 速度 ， 并 且 在 
下 载 完 成 时 又 逐渐 下 降 速 度 ， 这 些 特点 与 HTTP 服务 器 下 载 是 完全 相反 的 。 


2. 生成 和 发 布 流 文 件 


数据 文件 的 发 布 者 把 文件 划分 成 一 些 大 小 相等 的 数据 块 ， 块 的 大 小 通常 是 64kB 到 4MB， 
对 每 一 个 数据 块 采用 SHA-1 哈 希 算法 计算 一 个 校 验 和 ， 并 记录 在 流 文件 中 。 如 果 数 据 块 大 于 
512kB， 将 会 减 小 流 文件 的 大 小 ， 但 是 却 降低 了 协议 的 效率 。 当 一 个 用 户 接收 到 一 个 数据 块 时 
要 用 校 验 和 进行 校 验 ， 以 保证 没有 错误 。 提 供 完整 文件 的 对 等 方 叫 作 种 子 ， 提 供 共享 文 件 初始 
副本 的 种 子 叫 作 初始 种 子 。 

包含 在 流 文件 中 的 信息 依赖 于 BitTorent 协议 的 版 本 ， 流 文件 中 的 声明 部 分 (announce) 
说 明了 跟踪 器 的 URL， 信 息 部 分 (info) 包含 了 文件 名 、 文 件 长 度 、 数 据 块 长 度 ， 以 及 每 一 个 
数据 块 的 哈 希 值 (用 于 验证 数据 块 的 完整 性 )。 

流 文 件 通常 发 布 在 网 站 上 ， 并 且 在 跟踪 器 中 进行 了 注册 。 跟 踪 器 维持 一 个 当前 参与 的 用 户 
列表 。 在 没有 跟踪 器 的 纯 P2P 系统 中 ， 每 一 个 活动 的 对 等 方 都 是 一 个 跟踪 器 。Azureus 最 先 实 
现 了 没有 跟踪 器 的 BitTorrent 客户 端 ， 提 出 了 分 布 式 哈 希 表 (Distributed Hash Table，DHT) 的 
概念 。 后 来 ，Mainline 也 实现 了 一 种 DHT， 但 是 与 Azureus 的 DHT 不 兼容 ， 现 在 常用 的 P2P 
系统 〈 例 如 hTorrent、rTorent、BitComet、BitSpirit 等 ) 都 与 Mainline 的 DHT 兼容 。 


3. 文件 下 载 和 共享 


用 户 通过 浏览 网 页 找到 感 兴趣 的 流 文件 ， 在 BitTorrent 客户 端 打开 它 ， 这 时 就 可 以 找到 拥 
有 共享 文件 资源 的 对 等 方 ， 一 段 一 段 地 下 载 文件 中 的 数据 。 

客户 端 采 用 了 各 种 机 制 来 优化 下 载 和 上 传 ， 例 如 ， 可 以 随机 地 下 载 一 个 数据 片 ， 这 样 可 以 
增加 数据 交换 的 机 会 ， 但 这 只 在 两 个 对 等 方 拥有 不 同 的 数据 片 时 才 是 可 行 的 。 

这 种 数据 交换 的 效果 在 很 大 程度 上 依赖 于 用 户 采用 什么 策略 来 决定 “向 谁 发 送 ”。 客 户 端 
通常 喜欢 采用 的 策略 是 “以 牙 还 牙 、 针 锋 相 对 ”(tit for tat)， 即 谁 给 我 上 传 ， 我 就 给 谁 发 送 ， 
这 样 可 以 鼓励 公平 交易 。 但 是 ， 严 格 的 策略 常常 会 导致 次 优 的 结果 ， 例 如 ， 初 加 入 的 对 等 方 没 
有 数据 与 别人 交换 ， 因 而 不 能 接收 任何 数据 ; 或 者 由 于 两 个 建立 了 有 效 连接 的 对 等 方 都 处 于 初 
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始 交 换 阶段 ， 所 以 也 无 法 交换 数据 。 为 了 解决 这 类 问题 ，BitTorrent 客户 端 程序 采用 了 一 种 叫 作 
“解除 室 息 ”的 机 制 : 客户 端 保留 一 部 分 带宽 随时 向 一 个 随机 的 对 等 方 发 送 数据 ， 以 此 来 发 现 
真正 的 对 等 方 ， 并 使 其 加 入 到 传送 的 人 群 中 。 


4. Kademlia 算法 


第 一 代 P2P 网 络 〈 例 如 Napster) 依赖 于 中 心 跟踪 器 来 实现 共享 资源 的 查找 。 这 种 方法 没 
有 摆脱 C/S 模式 中 单 点 失效 的 缺陷 。 

第 二 代 P2P 网 络 〈 例 如 Gnutella) 采用 了 泛 洪 搜索 法 ， 用 户 把 自己 的 数据 请 求 泛 洪 发 送 到 
整个 网 络 中 ， 从 而 尽 可 能 多 地 发 现 拥有 共享 数据 的 对 等 方 。 这 种 方法 的 缺点 是 泛 洪 传播 会 产生 
大 量 的 通信 流 ， 从 而 造成 了 网 络 带宽 的 浪费 。 

第 三 代 P2P 网 络 使 用 了 分 布 式 哈 希 表 来 查找 网 络 中 的 共享 文件 , 我 们 把 这 种 网 络 称 为 结构 
化 的 P2P 网 络 , 而 把 以 前 的 P2P 网 络 称 为 非 结 构 化 的 P2P 网 络 。 结构 化 的 P2P 网 络 采用 了 一 个 
全 局 有 效 而 又 分 散 存储 的 路 由 表 ， 可 以 保证 任何 节点 的 搜索 请 求 都 能 被 路 由 到 拥有 期 望 内 容 的 
对 等 方 ， 即 使 在 内 容 极端 稀少 的 情况 下 也 是 如 此 。 

现在 已 经 提出 了 多 种 分 布 式 哈 希 表 的 解决 方案 ， 比 较 典 型 的 有 CAN、CHORD、Tapestry、 
Pastry、Kademlia 和 Viceroy 等 ，Kademlia 协议 是 其 中 最 为 简洁 、 实 用 的 一 种 ， 当 前 主流 的 P2P 
软件 大 多 采用 它 作 为 辅助 检索 协议 ， 例 如 eMule、BitComet、BitSpirit 和 Azureus 等 。 

Kademlia 是 纽约 大 学 的 Petar Maymounkov 和 David Mazieres 在 2002 年 发 表 的 分 布 式 哈 希 
表 算 法 ， 运 行 Kademlia 协议 的 网 络 称 为 Kad 网 络 。 在 这 种 网 络 中 ， 每 个 节点 都 有 一 个 随机 生 
成 的 160 位 的 标识 符 (ID)。 两 个 节点 x 和 ?之 间 的 距离 4 定义 为 它们 的 ID 按 位 异 或 (XOR) 
的 结果 : 





Axy) =x@7 
这 样 定义 的 距离 满足 欧 几 里 德 距离 的 属性 : 
d(x, x)=0 
dry) >0, ifx#y 
Vx,y: dx,D) = dy, YD) 
dx WD) + dO7, 3) > dr, 3), :de © dly, 3 =dx, 3) 

Kad 网 络 中 的 所 有 节点 都 被 当 作 一 棵 二 叉 树 的 叶子 节点 ， 节 点 ID 值 的 最 短 前 级 唯一 地 确 
定 了 节点 在 树 上 的 位 置 。 每 一 个 节点 都 维护 一 棵 本 地 的 二 叉 树 ， 用 于 表示 自己 与 其 他 节点 的 距 
离 。 二 叉 树 的 生成 规则 如 下 : 

(1) 最 高 层 的 子 树 由 整 棵 树 中 不 包含 自己 的 另 一 半 子 树 组 成 。 

(2) 下 一 层 子 树 由 剩 下 的 部 分 不 包含 自己 的 另 一 半 子 树 组 成 。 

依 此 类 推 ， 直 到 分 割 完 整 棵 树 。 图 6-60 表示 ID 为 0011 的 节点 构建 的 子 树 。 
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节点 ID0011 


图 6-60 Kad 网 络 中 的 树 结构 


Kad 网 络 中 的 DHT 是 分 散 地 存储 在 各 个 节点 中 的 一 张大 表 ， 该 表 的 每 一 项 由 两 部 分 组 成 ， 
一 部 分 是 某 个 数据 块 的 哈 希 值 ， 称 为 键 (Key); 另 一 部 分 是 拥有 该 数据 块 的 主机 的 值 (Value)， 
用 一 个 三 元 组 〈 卫 地 址 ，UDP 端口 ， 目 标 节 点 人 D) 表 示 。 每 一 个 节点 只 存储 离 自己 最 近 的 一 
些 节 点 的 信息 。 也 就 是 说 ， 每 个 节点 对 自己 附近 的 情况 非常 了 解 ， 随 着 距离 的 增 大 ， 了 解 的 程 
度 逐 渐 降 低 。 

可 以 证 明 ， 在 具有 7 个 节点 的 Kad 网 络 中 查找 一 个 目标 节点 ， 需 要 的 最 大 搜索 次 数 为 
O(log(n))。 这 正 是 Kad 网 络 的 效率 之 所 在 ， 也 是 Kademlia 算法 在 各 种 P2P 网 络 中 被 广泛 采用 
的 原因 。 图 6-61 表示 节点 0011 找到 节点 1110 的 过 程 ， 第 一 步 先 找到 节点 101， 第 二 步 找到 节 
点 1101， 第 三 步 找 到 节点 11110， 第 四 步 终于 找到 了 节点 1110。 在 这 其 中 ， 只 有 第 一 步 查 询 的 
节点 101 是 节点 0011 已 经 知道 的 ， 其 他 节点 都 是 上 一 步 查 询 返 回 的 更 接近 目标 的 节点 。 


WE Space of 160-bit mmmbers 00..00 


O-OF-0--0—0 O O 0-0—0—0—00 














图 6-61 Kad 网 络 搜索 的 例子 
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下 一 代 互 联网 (Next Generation Internet，NGI) 是 美国 政府 于 20 世纪 90 年 代 支 持 的 研究 
计划 ， 其 目的 有 3 个 : 开发 下 一 代 光 纤 技 术 ， 把 现 有 网 络 的 连接 速率 提高 100 一 1000 倍 ; 研发 
高 级 的 网 络 服务 技术 ， 包 括 QoS、 网 络 管理 新 技术 和 新 的 网 络 服务 体系 结构 ;演示 新 的 网 络 应 
用 ， 例 如 远程 医疗 、 远 程 教育 、 高 性 能 全 球 通信 等 。 该 研究 计划 于 2002 年 宣布 基本 完成 。 我 
国 的 下 一 代 互 联网 计划 CNGI 从 2003 年 开始 启动 , 经 过 了 5 年 的 研究 终于 取得 了 圆满 成 功 , 并 
在 2008 年 北京 奥运 会 期 间 向 全 世界 展示 了 基于 IPv6 的 官方 网 站 www.beijing2008.cn。 本 章 讲 
述 NGI 的 关键 技术 以 及 IPv4 向 IPv6 的 过 渡 技术 ， 并 介绍 下 一 代 互 联网 研究 的 进展 情况 。 


YW Pv6 


基于 IPv4 的 因特网 已 运行 多 年 ， 随 着 网 络 应 用 的 普及 和 扩展 ，IPv4 协议 逐渐 暴露 出 一 些 

缺陷 ， 主 要 问题 如 下 。 

。 ”网 络 地 址 短缺 : IPv4 地 址 为 32 位 ， 只 能 提供 大 约 43 亿 个 地 址 ， 其 中 1/3 被 美国 占用 。 
IPv4 的 两 级 编 址 方案 造成 了 很 多 无 用 的 地 址 “空洞 ” 地 址 空间 浪费 很 大 。 另 一 方面 ， 
随 着 TCP/IP 应 用 的 扩大 ， 对 网 络 地址 的 需求 迅速 增加 ， 有 的 主机 分 别 属于 多 个 网 络 ， 
需要 多 个 人 P 地 址 , 有 些 非 主机 设备 , 例如 自动 柜员 机 和 有 线 电视 接收 机 也 要 求 分 配 下 
地 址 。 一 系列 新 需求 的 出 现 都 加 剧 了 人 P 地 址 的 紧缺 ， 虽 然 采 用 了 诸如 VLSM、CIDR 
和 NAT 等 辅助 技术 ， 但 是 并 没有 彻底 解决 问题 。 

。 路 由 速度 慢 : 随 着 网 络 规模 的 扩大 ， 路 由 表 越 来 越 庞大 ， 路 由 处 理 速度 越 来 越 慢 。 这 
是 因为 IPv4 头 部 多 达 13 个 字段 ， 路 由 器 处 理 的 信息 量 很 大 ， 而 且 大 部 分 处 理 操作 都 
要 用 软件 实现 ， 这 使 得 路 由 器 已 经 成 为 因特网 的 瓶颈 。 因 此 ， 设 法 简化 路 由 处 理 成 为 
提高 网 络 传输 速度 的 关键 技术 。 

。 ”缺乏 安全 功能 : 随 着 互联 网 的 广泛 应 用 ， 网 络 安全 成 为 迫切 需要 解决 的 问题 。IPv4 没 
有 提供 安全 功能 ， 阻 碍 了 互联 网 在 电子 商务 等 信息 敏感 领域 的 应 用 。 近 年 来 ， 在 IPv4 
基础 上 针对 不 同 的 应 用 领域 研究 出 了 一 些 安全 成 果 ， 例 如 IPSec、SLL 等 。 这 些 成 果 
需要 进一步 的 整合 ， 以 便 为 各 种 应 用 领域 提供 统一 的 安全 解决 方案 。 

。 不 支持 新 的 业务 模式 : IPv4 不 支持 许多 新 的 业务 模式 ， 例 如 语音 、 视 频 等 实时 信息 传 
输 需 要 QoS 支持 , P2P 应 用 还 需要 端 到 端的 QoS 支持 , 移动 通信 需要 灵活 的 接 入 控制 ， 
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也 需要 更 多 的 下 地 址 等 。 这 些 新 业务 的 出 现 对 互联 网 的 应 用 提出 了 一 些 难以 解决 的 问 
题 ， 需 要 对 现行 的 他 协议 做 出 根本 性 的 变革 。 
针对 IPv4 面临 的 问题 ，IETF 在 1992 年 7 月 发 出 通知 ， 征 集 对 下 一 代 下 协议 (IPng) 的 
建议 ,在 对 多 个 建议 筛选 的 基础 上 , IETF 于 1995 年 1 月 发 表 了 RFC 1752 (The Recommendation 
of the IP Next Generation Protocol)， 阐 述 了 对 下 一 代 了 P 的 需求 ， 定 义 了 新 的 协议 数据 单元 ， 这 
是 IPv6 研究 中 的 里 程 碑 事件 。 随 后 的 一 些 RFC 文档 给 出 了 IPv6 协议 的 补充 定义 ， 关 于 IPv6 
各 种 研究 成 果 都 包含 在 1998 年 12 月 发 表 的 RFC 2460 文档 中 。 


7.1.1 1IPv6 分 组 格式 


IPv6 协议 数据 单元 的 格式 如 图 7-1 (a) 所 示 ， 整 个 IPv6 分 组 由 一 个 固定 头 部 和 若干 个 扩 
展 头 部 以 及 上 层 协 议 的 负载 组 成 。 扩 展 头 部 是 任 选 的 ， 转 发 路 由 器 只 处 理 与 其 有 关 的 部 分 ， 这 
样 就 简化 了 路 由 器 的 转发 操作 ， 加 速 了 路 由 处 理 的 速度 。IPv6 的 固定 头 部 如 图 7-1 (b) 所 示 ， 
其 中 的 各 个 字段 解释 如 下 : 

















Fi | 负载 长 度 跳 类 限制 
源 地 址 
扩展 头 部 
下 一 类 部 < 
| 扩展 头 部 
目标 地 址 
上 层 协议 
(a) 通用 格式 Cb) 固定 头 部 


图 7-1 IPv6 分 组 


e。 版 本 (4 位 ): 用 0110 指示 下 第 六 版 。 

。 ”通信 类 型 (8 位 ): 这 个 字段 用 于 区 分 不 同 的 下 分 组 ,相当 于 IPv4 中 的 服务 类 型 字段 ， 
通信 类 型 的 详细 定义 还 在 研究 和 实验 之 中 。 

。 ”流标 记 (20 位 ): 原 发 主机 用 该 字段 来 标识 某 些 需要 特别 处 理 的 分 组 ， 例 如 特别 的 服 
务 质量 或 者 实时 数据 传输 等 ， 流 标记 的 详细 定义 还 在 研究 和 实验 之 中 。 


。 负载 长 度 (16 位 ): 表示 除了 IPv6 固定 头 部 40 个 字 节 之 外 的 负载 长 度 ， 扩 展 头 包含 


在 负载 长 度 之 中 。 


。 下 一 头 部 (8 位 ): 指明 下 一 个 头 部 的 类 型 ， 可 能 是 IPv6 的 扩展 头 部 ， 也 可 能 是 高 层 


协议 的 头 部 。 


。 ” 跳 数 限制 (8 位 ): 用 于 检测 路 由 循环 ， 每 个 转发 路 由 器 对 这 个 字段 减 1， 如 果 变 成 0， 


分 组 被 丢弃 。 


。 源 地 址 (128 位 ): 发 送 节 点 的 地 址 。 

。 目标 地 址 (128 位 ): 接收 节点 的 地 址 。 

IPv6 有 6 种 扩展 头 部 ， 如 表 7-1 所 示 。 这 6 种 扩展 头 部 都 是 任 选 的 。 扩 展 头 部 的 作用 是 保 
留 IPv4 某 些 字段 的 功能 ， 但 只 是 由 特定 的 网 络 设备 来 检查 处 理 ， 而 不 是 每 个 设备 都 要 处 理 。 


表 7-1 IPv6 的 扩展 头 部 


头 部 名 称 


逐 跳 选 项 (hop-by-hop option ) 


目标 选项 (Destination option ) 
路 由 选择 (routing) 


分 段 (Fragmentation ) 
认证 (Authentication ) 
封装 安全 负荷 (Encrypted security payload) 





解释 
特大 净 负 荷 


、 四 yy Jumbograms 
些 信和 沿途 各 个 
这 些 信息 由 沿途 个 路 由 器 处 理 由 器 区 本 


Alert 


选项 中 的 信息 由 目标 节点 检查 处 理 

给 出 一 个 路 由 器 地 址 列表 组 成 , 类 似 于 IPv4 的 松散 源 路 
由 和 路 由 记录 

处 理 数据 报 的 分 段 问 题 

由 接收 者 进行 身份 认证 

对 分 组 内 容 进 行 加 密 的 有 关 信 息 


扩展 头 部 的 第 一 个 字 节 是 下 一 头 部 (Next Header) 选择 符 (图 7-2 (a))， 其 值 指明 了 下 一 
个 头 部 的 类 型 ， 例 如 60 表示 目标 选项 ，43 表示 源 路 由 ，44 表示 分 段 ，51 表示 认证 ，50 表示 
封装 安全 负 蓓 等 (http://www.iana.org/assignments/ipv6-parameters)，59 表示 没有 下 一 个 头 部 了 。 
由 于 逐 跳 选项 没有 指定 相应 的 编码 ， 所 以 它 如 果 出 现 要 放 在 所 有 扩展 头 部 的 最 前 面 ， 在 卫 v6 
头 部 的 “下 一 头 部 ”字段 中 用 0 来 指示 逐 跳 选项 的 存在 。 扩 展 头 部 的 第 二 个 字 节 表示 头 部 扩展 
长 度 (Hdr Ext Len)， 以 8 个 字 节 计数 ， 其 值 不 包含 扩展 头 部 的 前 8 个 字 节 。 也 就 是 说 ， 如 果 





扩展 头 部 只 有 8 个 字 节 ， 则 该 字段 为 0。 


逐 跳 选项 是 可 变 长 字段 ， 任 选 部 分 Options) 被 编码 成 类 型 -长 度 - 值 CTLV) 的 形式 ， 如 
图 7-2 (b) 所 示 。 类 型 (Type) 为 一 个 字 节 长 ， 其 中 前 两 位 指示 对 于 不 认识 的 头 部 如 何 处 理 ， 


其 编码 如 下 。 
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下 一 头 部 扩展 头 部 长 度 
任 选 部 分 
(a) 
任 选 类 型 ”| 任 选 数据 长 度 任 选 数据 














(b) 





图 7-2 包含 任 选 部 分 的 扩展 头 部 


。 ”00: 跳 过 该 任 选项 ， 继 续 处 理 其 他 头 部 。 

。 ”01: 丢弃 分 组 。 

。 ”10: 丢弃 分 组 ， 并 向 源 节点 发 送 ICMPv6 参数 问题 报 文 。 

。 11: 处 理 方法 同 前 ， 但 是 对 于 组 播 地 址 不 发 送 ICMP 报 文 〈 防 止 出 错 的 组 播 分 组 引起 


大 量 ICMP 报 文 )。 
长 度 (Length) 是 8 位 无 符号 整数 ， 表 示 任 选 数 据 部 分 包含 的 字 节 数 。 值 (Value) 是 相应 
类 型 的 任 选 数 据 。 


逐 跳 选项 包含 了 通路 上 每 个 路 由 器 都 必须 处 理 的 信息 ， 目 前 只 定义 了 两 个 选项 。“ 特 大 净 
负荷 ”选项 适用 于 传送 大 于 64K 的 特大 分 组 ， 以 便 有 效 地 利用 传输 介质 的 容量 传送 大 量 的 视频 
数据 “路 由 器 警戒 ”选项 (RFC 2711) 用 于 区 分 数据 报 封装 的 组 播 监听 发 现 (MLD) 报 文 、 
资源 预约 (RSVP) 报 文 以 及 主动 网 络 (Active Network) 报 文 等 ， 这 些 协议 可 以 利用 这 个 字段 
实现 特定 的 功能 。 

目标 选项 包含 由 目标 主机 处 理 的 信息 ， 例 如 预 留 缓冲 区 等 。 目 标 选 项 的 报 文 格式 与 逐 跳 先 
项 相同 。 

路 由 选择 扩展 头 的 格式 如 图 7-3 所 示 ， 其 中 的 路 由 类 型 字段 是 一 个 8 位 的 标识 符 ， 最 初 只 
定义 了 一 种 类 型 0， 用 于 表示 松散 源 路 由 。 未 用 段 表示 在 分 组 传送 过 程 中 尚未 使 用 的 路 由 段 数 
量 ， 这 个 字段 在 分 组 传送 过 程 中 逐渐 减少 ， 到 达 目 标 端 时 应 为 0。 路 由 类 型 0 的 分 组 格式 表示 
在 图 7-3 中 ,在 第 一 个 字 之 后 保留 一 个 字 ， 其 初始 值 为 0， 到 达 接 收 端 时 被 忽略 。 接 下 来 就 是 n 
个 IPv6 地 址 ， 指 示 通 路 中 要 经 过 的 路 由 器 。 
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下 一 头 部 | 扩展 头 部 长 度 | 路 由 类 型 = 0 未 用 和 
保留 的 一 个 字 








IPv6 地 址 1 














图 7-3 路 由 头 部 


分 段 扩展 头 表示 在 图 7-4 中 ， 其 中 包含 了 13 位 的 段 偏 置 值 (编号 )， 是 否 为 最 后 一 个 分 段 
的 标志 M， 以 及 数据 报 标识 符 ， 这 些 都 与 IPv4 的 规定 相同 。 与 IPv4 不 同 的 是 ,在 IPv6 中 只 能 
由 原 发 节点 进行 分 段 ， 中 间 路 由 器 不 能 分 段 ， 这 样 就 简化 了 路 由 过 程 中 的 分 段 处 理 。 
[下 ;部 [| 保留 |  _ 段 偏 置 值 [sw[™l 
图 7-4 分 段 头 部 


认证 和 封装 安全 负荷 的 详细 介绍 已 经 超出 了 本 书 的 范围 ， 读 者 可 参考 有 关 IPSec 的 资料 。 

如 果 一 个 IPv6 分 组 包含 多 个 扩展 头 ， 建 议 采 用 下 面 的 封装 顺序 : 

(1) IPv6 头 部 。 

(2) 逐 跳 选 项 头 。 

(3) 目标 选项 头 (IPv6 头 部 目标 地 址 字段 中 指明 的 第 一 个 目标 节点 要 处 理 的 信息 ， 以 及 路 
由 选择 头 中 列 出 的 后 续 目 标 节点 要 处 理 的 信息 )。 

(4) 路 由 选择 头 。 

(5) 分 段 头 。 

(6) 认证 头 。 

(7) 封装 安全 负荷 头 。 

(8) 目标 选项 头 〈 最 后 的 目标 节点 要 处 理 的 信息 )。 

(9) 上 层 协 议 头 部 。 
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7.1.2 1IPv6 地 址 


JIPv6 地 址 扩展 到 128 位 。2” 足 够 大 ， 这 个 地 址 空间 可 能 永远 用 不 完 。 事实 上 ， 这 个 数 大 
于 阿 伏 加 德 罗 常 数 ， 足够 为 地 球 上 的 每 个 分 子 分 配 一 个 中 地址。 用 一 个 形象 的 说 法 , 这 样 大 的 
地 址 空间 允许 整个 地 球 表面 上 每 平方 米 配置 7x10” 个 他 地址 。 

IPv6 地 址 采用 冒号 分 隔 的 十 六 进 制 数 表 示 ， 例 如 下 面 是 一 个 IPv6 地 址 : 

8000:0000:0000:0000:0123:4567:89AB:CDEF 

为 了 便于 书写 ， 规 定 了 一 些 简化 写法 。 首 先 ， 每 个 字段 前 面 的 0 可 以 省 去 ， 例 如 0123 可 
以 简写 为 123; 其 次 ， 一 个 或 多 个 全 0 字段 0000 可 以 用 一 对 冒号 代替 。 例 如 ， 以 上 地 址 可 简 
写 为 : 

8000::123:4567:89AB:CDEF 

另外 ，IPv4 地 址 仍然 保留 十 进 制 表示 法 ， 只 需要 在 前 面 加 上 一 对 冒号 ， 就 成 为 IPv6 地 址 ， 
称 为 IPv4 兼容 地 址 (IPv4 Compatible)， 例 如 : 

::192.168.10.1 


1. 格式 前 组 


IPv6 地 址 的 格式 前 级 (Format Prefixg，FP) 用 于 表示 地 址 类 型 或 子 网 地 址 ， 用 类 似 于 IPv4 
CIDR 的 方法 可 表示 为 “IPv6 地 址 /前 绥 长 度 ” 的 形式 。 例 如 60 位 的 地 址 前 组 12AB00000000CD3 
有 下 列 几 种 合法 的 表示 形式 : 

12AB:0000:0000:CD30:0000:0000:0000:0000/60 

12AB::CD30:0:0:0:0/60 

12AB:0:0:CD30::/60 

下 面 的 表示 形式 是 不 合法 的 : 

12AB:0:0:CD3/60〈 在 16 位 的 字段 中 可 以 省 掉 前 面 的 0， 但 不 能 省 掉 后 面 的 0) 

12AB::CD30/60( 这 种 表示 可 展开 为 12AB:0000:0000:0000:0000:0000:0000:CD30) 

12AB::CD3/60( 这 种 表示 可 展开 为 12AB:0000:0000:0000:0000:0000:0000:0CD3) 

一 般 来 说 ， 节 点 地 址 与 其 子 网 前 级 组 合 起 来 可 采用 紧缩 形式 表示 ， 例 如 节点 地 址 : 

12AB:0:0:CD30:123:4567:89AB:CDEF 

若 其 子 网 号 为 12AB:0:0:CD30::/60， 则 等 价 的 写法 是 12AB:0:0:CD30:123:4567:89AB:CDEF/60。 


2， 地 址 分 类 


JPv6 地 址 是 一 个 或 一 组 接口 的 标识 符 。IPv6 地 址 被 分 配 到 接口 ， 而 不 是 分 配给 节点 。IPv6 
地 址 有 3 种 类 型 : 


1) 单 播 (Unicast) 地址 

单 播 地 址 是 单个 网 络 接口 的 标识 符 。 对 于 有 多 个 接口 的 节点 ， 其 中 任何 一 个 单 播 地 址 都 可 
以 用 作 该 节点 的 标识 符 。 但 是 为 了 满足 负载 平衡 的 需要 ， 在 RFC 2373 中 规定 ， 只 要 在 实现 中 
多 个 接口 看 起 来 形 同 一 个 接口 就 允许 这 些 接口 使 用 同一 地 址 。IPv6 的 单 播 地址 是 用 一 定 长 度 的 
格式 前 绥 汇 聚 的 地 址 ， 类 似 于 IPv4 中 的 CIDR 地 址 。 在 单 播 地 址 中 有 下 列 两 种 特殊 地 址 。 

。 不 确定 地 址 : 地 址 0:0:0:0:0:0:0:0 称 为 不 确定 地 址 ， 不 能 分 配给 任何 节点 。 不 确定 地 址 
可 以 在 初始 化 主机 时 使 用 , 在 主机 未 取得 地 址 之 前 , 它 发 送 的 IPv6 分 组 中 的 源 地 址 字 
段 可 以 使 用 这 个 地 址 。 这 种 地 址 不 能 用 作 目 标 地 址 ， 也 不 能 用 在 IPv6 路 由 头 中 。 

。 ”回环 地 址 : 地 址 0:0:0:0:0:0:0:1 称 为 回环 地 址 ， 节 点 用 这 种 地 址 向 自身 发 送 IPv6 分 组 。 

这 种 地 址 不 能 分 配给 任何 物理 接口 。 

2) 任意 播 (AnyCast) 地 址 

这 种 地 址 表示 一 组 接口 (可 属于 不 同 节点 ) 的 标识 符 。 发 往 任意 播 地 址 的 分 组 被 送 给 该 地 
址 标识 的 接口 之 一 ， 通 常 是 路 由 距离 最 近 的 接口 。 对 IPv6 任意 播 地 址 存在 下 列 限制 ; 

。 任意 播 地 址 不 能 用 作 源 地 址 ， 而 只 能 作为 目标 地 址 。 

。 任意 播 地 址 不 能 指定 给 IPv6 主机 ， 只 能 指定 给 IPv6 路 由 器 。 

3) 组 播 (MultiCast) 地 址 

组 播 地 址 是 一 组 接口 〈 一 般 属于 不 同 节点 ) 的 标识 符 ， 发 往 组 播 地 址 的 分 组 被 传送 给 该 地 
址 标识 的 所 有 接口 。IPv6 中 没有 广播 地 址 ， 它 的 功能 已 被 组 播 地址 所 代替 。 

在 IPv6 地 址 中 ， 任 何 全 “0” 和 全 “1” 字 段 都 是 合法 的 ， 除 非特 别 排除 的 之 外 。 特 别 是 
前 缀 可 以 包含 “0” 值 字段 ， 也 可 以 用 “0” 作 为 终结 字段 。 一 个 接口 可 以 被 赋予 任何 类 型 的 多 
个 地 址 〈 单 播 、 任 意 播 、 组 播 ) 或 地 址 范围 。 


3， 地址 类 型 初始 分 配 












































IPv6 地 址 的 具体 类 型 是 由 格式 前 绥 来 区 分 的 ， 这 些 前 组 的 初始 分 配 如 表 7-2 所 示 。 
表 7-2 IPv6 地 址 的 初始 分 配 


























分 配 前 缀 〈 二 进 制 ) 占 地 址 空间 的 比例 
保留 0000 0000 1/256 
未 分 配 0000 000 11/256 
为 NSAP 地 址 保留 0000 001 1/128 
为 IPX 地 址 保留 0000 010 1/128 
未 分 配 0000 011 1/128 
未 分 配 0000 1 1/32 





未 分 配 1/16 
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分 配 占 地 址 空间 的 比例 
可 聚合 全 球 单 播 地 址 1/8 
未 分 配 1/8 
未 分 配 1/8 
未 分 配 1/8 
未 分 配 1/8 
未 分 配 1/8 
未 分 配 1/16 
未 分 配 1/32 
未 分 配 1111 10 1/64 
未 分 配 Vl28 
未 分 配 vs12 
链 路 本 地 单 播 地 址 | umolo | 1/1024 
站 点 本 地 单 播 地 址 | Halloll | 1/1024 
组 播 地 址 | nm | 1/256 


地 址 空间 的 15% 是 初始 分 配 的 ， 其 余 85% 的 地 址 空间 留 作 将 来 使 用 。 这 种 分 配方 案 支 持 可 
聚合 地 址 、 本 地 地 址 和 组 播 地 址 的 直接 分 配 ， 并 保留 了 SNAP 和 IPX 的 地 址 空间 ， 其 余 的 地 址 
空间 留 给 将 来 的 扩展 或 者 新 的 用 途 。 单 播 地 址 和 组 播 地址 都 是 由 地 址 的 高 阶 字 节 值 来 区 分 的 : 
FF (1111 1111) 标识 一 个 组 播 地 址 ， 其 他 值 则 标识 一 个 单 播 地 址 ， 任 意 播 地 址 取 自 单 播 地 址 空 

间 ， 与 单 播 地 址 在 语法 上 无 法 区 分 。 


4. 单 播 地 址 


IPv6 单 播 地 址 包括 可 聚合 全 球 单 播 地 址 、 链 路 本 地 地 址 、 站 点 本 地 地 址 和 其 他 特殊 单 播 
地 址 。 

(1) 可 聚合 全 球 单 播 地 址 : 这 种 地 址 在 全 球 范围 内 有 效 ， 相 当 于 IPv4 公用 地 址 。 全 球 地 
址 的 设计 有 助 于 构架 一 个 基于 层次 的 路 由 基础 设施 。 可 聚合 全 球 单 播 地 址 结构 如 图 7-5 所 示 。 


13 8 24 16 64 | 
i TEA 1 NLA SLA 二 接 DID 


图 7-5 可 聚合 全 球 单 播 地 址 




















可 聚合 全 球 单 播 地址 的 格式 前 绥 为 001， 随 后 的 顶级 聚合 体 TLA (Top Level Aggregator)、 
下 级 聚合 体 NLA (Next Level Aggregator) 以 及 站 点 级 聚合 体 SLA (Site Level Aggregator) 构 
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成 了 自 项 向 下 的 3 级 路 由 层次 结构 (如 图 7-6 所 示 )。TLA 是 远程 服务 供应 商 的 骨干 网 接 入 点 ， 
TLA 向 地 区 互联 网 注册 机 构 RIR (ARIN、RIPE NCC、APNIC 等 ) 申请 IPv6 地 址 块 ，TLA 之 
下 就 是 商业 地 址 分 配 范 围 。NLA 是 一 般 的 ISP， 它 们 把 从 TLA 申请 的 地 址 分 配给 SLA， 各 个 
站 点 级 聚合 体 再 为 机 构 用 户 或 个 人 用 户 分 配 地 址 。 分 层 结构 的 最 底层 是 主机 接口 ， 通 常 是 在 3 
机 的 48 位 MAC 地 址 前 面 填充 0xFFFE 构成 的 接口 D。 











出 







Regional 
Jnternet 


(RIR) 


主干 网 提供 商 





ISP 


ARIN: American Registry for Intemet Numbers; 
RIPE — NCC: Réseau IP Européens - Network Coordination Centre in Europe; 
APNIC: Asia Pacific Network Information Centre; 


图 7-6 可 聚合 全 球 单 播 地 址 层次 结构 


(2) 本 地 单 播 地 址 : 这 种 地 址 的 有 效 范围 仅 限 于 本 地 ， 又 分 为 两 类 。 

。 ” 链 路 本 地 地 址 ， 其 格式 前 级 为 1111 1110 10， 用 于 同一 链 路 的 相 邻 节点 间 的 通信 。 链 
路 本 地 地 址 相当 于 IPv4 中 的 自动 专用 下 地 址 (APIPA)， 可 用 于 邻居 发 现 ， 并 且 总 是 
自动 配置 的 ， 包 含 链 路 本 地 地 址 的 分 组 不 会 被 路 由 器 转发 。 

。 站 点 本 地 地 址 : 其 格式 前 绥 为 1111 1110 11， 相 当 于 IPv4 中 的 私 网 地 址 。 如 果 企业 内 
部 网 没有 连接 到 Intemet 上 ， 则 可 以 使 用 这 种 地 址 。 站 点 本 地 地 址 不 能 被 其 他 站 点 访 
问 ， 包 含 这 种 地 址 的 分 组 也 不 会 被 路 由 器 转发 到 站 点 之 外 。 


$5. 组 播 地 址 


IPv6 组 播 可 以 将 数据 报 传输 给 组 内 的 所 有 成 员 。IPv6 组 播 地 址 的 格式 前 级 为 1111 1111， 
此 外 还 包括 标志 (Flags)、 范 围 和 组 D 等 字段 ， 如 图 7-7 所 示 。 


4 4 112 
Eu = = GroupD | 


图 7-7 IPv6 组 播 地 址 
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Flags 可 表示 为 000T，T=0 表示 被 IANA 永久 分 配 的 组 播 地 址 ; T=1 表示 临时 的 组 播 地 址 。 
Scope 是 组 播 范 围 字段 ， 表 7-3 列 出 了 在 RFC 2373 中 定义 的 Scope 的 值 。Group ID 标识 了 一 个 
给 定 范 围 内 的 组 播 组 。 永 久 分 配 的 组 播 组 ID 与 范围 字段 无 关 ， 临 时 分 配 的 组 播 组 ID 在 特定 的 
范围 内 有 效 。 





表 7-3 Scope 字段 值 
范围 
保留 
节点 本 地 范围 
链 路 本 地 范围 
站 点 本 地 范围 
机 构 本 地 范围 
全 球 范围 
保留 














6. 任意 播 地 址 


任意 播 地 址 仅 用 作 目 标 地址 ， 且 只 能 分 配给 路 由 器 。 任 意 播 地 址 是 在 单 播 地 址 空间 中 分 配 
的 。 一 个 子 网 内 的 所 有 路 由 器 接口 都 被 分 配 了 子 网 -路 由 器 任意 播 地 址 。 子 网 -路 由 器 任意 播 地 
址 必须 在 子 网 前 级 中 进行 预定 义 。 为 构造 一 个 子 网 -路 由 器 任意 播 地 址 ， 子 网 前 级 必须 固定 ,其 
余 位 置 全 “0”， 如 图 7-8 所 示 。 





图 7-8 子 网 -路 由 器 任意 播 地 址 
表 7-4 是 IPv4 与 了 Pv6 地 址 的 比较 。 


表 7-4 IPv4 和 IPv6 地 址 比较 
IPv6 地 址 
带 冒 号 的 十 六 进 制 表 示 ，0 压缩 












IPv4 地 址 
点 分 十 进 制 表 示 


















分 为 A、B、C、D、E5 类 不 分 类 
组 播 地 址 224.0.0.0/4 组 播 地 址 FF00::/8 

广播 地 址 (主机 部 分 为 全 1) 任意 播 ( 限 于 子 网 内 部 ) 
默认 地 址 0.0.0.0 不 确定 地 址 :: 

回环 地 址 127.0.0.1 回环 地 址 ::1 





公共 地 址 可 聚合 全 球 单 播 地 址 FP 二 001 





IPv4 地 址 
私 网 地 址 10.0.0.0/8; 
172.16.0.0/12; 192.168.0.0/16 
自动 专用 他 地 址 169.254.0.0/16 


IPv6 地 址 
站 点 本 地 地 址 FECO::/48 





链 路 本 地 地 址 FE8O::/48 





7， 了 PPv6 的 地 址 配置 


IPv6 把 自动 正 地 址 配置 作为 标准 功能 ， 只 要 计算 机 连接 上 网 络 便 可 自动 分 配 卫 地 址 。 这 
样 做 有 两 个 优点 ， 一 是 最 终 用 户 无 须 花 精力 进行 地 址 设置 ， 二 是 可 以 大 大 减轻 网 络 管理 者 的 负 
担 。IPv6 有 两 种 自动 配置 功能 ， 一 种 是 “全 状态 自动 配置 ” 另 一 种 是 “无 状态 自动 配置 ”。 

在 IPv4 中 ， 动 态 主机 配置 协议 (DHCP) 实现 了 卫 地 址 的 自动 设置 。Pv6 继承 了 IPv4 的 
这 种 自动 配置 服务 ， 并 将 其 称 为 全 状态 自动 配置 (Stateful Auto-Configuration ) 。 

在 无 状态 自动 配置 (Stateless Auto-Configuration) 过 程 中 ， 主 机 通过 两 个 阶段 分 别 获 得 链 
路 本 地 地 址 和 可 聚合 全 球 单 播 地 址 。 首 先 主机 将 其 网 卡 MAC 地 址 附加 在 链 路 本 地 地 址 前 绥 
1111 1110 10 之 后 , 产生 一 个 链 路 本 地 地 址 , 并 发 出 一 个 ICMPv6 邻居 发 现 (Neighbor Discovery) 
请 求 ， 以 验证 其 地 址 的 唯一 性 。 如 果 请 求 没有 得 到 响应 ， 则 表明 主机 自我 配置 的 链 路 本 地 地 址 
是 唯一 的 。 和 否则 ， 主 机 将 使 用 一 个 随机 产生 的 接口 ID 组 成 一 个 新 的 链 路 本 地 地 址 。 获 得 链 路 
本 地 地 址 后 ， 主 机 以 该 地 址 为 源 地 址 ， 向 本 地 链 路 中 所 有 路 由 器 的 组 播 ICMPv6 路 由 器 请 求 
(Router Solicitation) 报 文 ， 路 由 器 以 一 个 包含 可 聚合 全 球 单 播 地址 前 组 的 路 由 器 公告 (Router 
Advertisement) 报 文 响应 。 主 机 用 从 路 由 器 得 到 的 地 址 前 绥 加 上 自己 的 接口 ID， 自动 配置 一 个 
全 球 单 播 地 址 ， 这 样 就 可 以 与 Internet 中 的 任何 主机 进行 通信 了 。 使 用 无 状态 自动 配置 ， 无 须 
用 户 手工 干预 就 可 以 改变 主机 的 卫 v6 地 址 。 


7.1.3 1Pv6 路 由 协议 


IPv6 单 播 路 由 协议 与 Pv4 类 似 ， 有 些 是 在 原 有 协议 基础 上 进行 了 简单 的 扩展 ， 有 些 则 完 
全 是 新 的 版 本 。 


1. RIPng 


下 一 代 RIP 协议 (RIPng) 是 对 原来 的 RIPV2 的 扩展 。 大 多 数 RIP 的 概念 都 可 以 用 于 RIPng。 
为 了 在 IPv6 网 络 中 应 用 ，RIPng 对 原 有 的 RIP 协议 进行 了 以 下 修改 。 
。 UDP 端口 号 : 使 用 UDP 的 521 端口 发 送 和 接收 路 由 信息 。 
。 组 播 地 址 : 使 用 FF02::9 作为 链 路 本 地 范围 内 的 RIPng 路 由 器 组 播 地址 。 
。 ”路 由 前 级 : 使 用 128 位 的 IPv6 地 址 作为 路 由 前 绥 。 
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。 下 一 跳 地 址 : 使 用 128 位 的 IPv6 地 址 。 


2. OSPFv3 


RFC 2740 定义 了 OSPFv3， 用 于 支持 PvV6。OSPFv3 与 OSPFv2 的 主要 区 别 如 下 : 

(1) 修改 了 LSA 的 种 类 和 格式 ， 使 其 支持 发 布 Pv6 路 由 信息 。 

(2) 修改 了 部 分 协议 流程 。 主 要 的 修改 包括 用 Router-ID 来 标识 邻居 ， 使 用 链 路 本 地 地 址 
来 发 现 邻 居 等 ， 使 得 网 络 拓扑 本 身 独立 于 网 络 协 议 ， 以 便于 将 来 扩展 。 

(3) 进一步 理 顺 了 拓扑 与 路 由 的 关系 。OSPFv3 在 LSA 中 将 拓扑 与 路 由 信息 相 分 离 , 在 一 、 
二 类 LSA 中 不 再 携带 路 由 信息 ， 而 只 是 单纯 的 拓扑 描述 信息 ， 另 外 增加 了 八 、 九 类 LSA， 结 
合 原 有 的 三 、 五 、 七 类 LSA 来 发 布 路 由 前 级 信息 。 

(4) 提高 了 协议 适应 性 。 通 过 引入 LSA 扩散 范围 的 概念 进一步 明确 了 对 未 知 LSA 的 处 理 
流程 ， 使 得 协议 可 以 在 不 识别 LSA 的 情况 下 根据 需要 做 出 恰当 处 理 ， 提 高 了 协议 的 可 扩展 性 。 


3. BGP4+ 


传统 的 BGP 4 只 能 管理 IPv4 的 路 由 信息 ， 对 于 使 用 其 他 网 络 层 协议 (如 IPv6 等 ) 的 应 用 ， 
在 跨 自 治 系统 传播 时 会 受到 一 定 的 限制 .为 了 提供 对 多 种 网 络 层 协议 的 支持 , IETF 发 布 的 RFC 
2858 文档 对 BGP 4 进行 了 多 协议 扩展 ， 形 成 了 BGP 4+。 

为 了 实现 对 IPv6 协 议 的 支持 ,BGP 4+ 必 须 将 IPv6 网 络 层 协 议 的 信息 反映 到 NLRICNetwork 
Layer Reachable Information) 及 Next_Hop 属性 中 。 为 此 ， 在 BGP4+ 中 引入 了 下 面 两 个 NLRI 
属性 。 

。 MP _REACH NLRI: 多 协议 可 到 达 NLRI， 用 于 发 布 可 到 达 路 由 及 下 一 跳 信息 。 

。 MP_UNREACH NLRI: 多 协议 不 可 达 NLRI， 用 于 撤销 不 可 达 路 由 。 

BGP 4+ 中 的 Next_Hop 属性 用 IPv6 地 址 来 表示 ， 可 以 是 IPv6 全 球 单 播 地 址 或 者 下 一 跳 的 
链 路 本 地 地 址 。BGP 4 原 有 的 消息 机 制 和 路 由 机 制 没 有 改变 。 


4. ICMPv6 协议 





ICMPv6 协议 用 于 报告 IPv6 节点 在 数据 包 处 理 过 程 中 出 现 的 错误 消息 , 并 实现 简单 的 网 络 
诊断 功能 。ICMPv6 新 增加 的 邻居 发 现 功能 代替 了 ARP 协议 的 功能 ， 所 以 在 IPv6 体系 结构 中 
已 经 没有 ARP 协议 了 。 除 了 支持 IPv6 地 址 格式 之 外 ，ICMPv6 还 为 支持 IPv6 中 的 路 由 优化 、 
四 组 播 、 移 动人 P 等 增加 了 一 些 新 的 报 文 类 型 ， 择 其 要 者 列举 如 下 : 

类 型 码 含义 RFC 文 档 

127 Reserved for expansion of ICMPV6 error messages [RFC 4443] 

130 Multicast Listener Query [RFC 2710] 
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131 Multicast Listener Report [RFC 2710] 
132 Multicast Listener Done [RFC 2710] 
133 Router Solicitation [RFC 4861] 
134 Router Advertisement [RFC 4861] 
135 Neighbor Solicitation [RFC 4861] 
136 Neighbor Advertisement [RFC 4861] 
139 ICMP Node Information Query [RFC 4620] 
140 ICMP Node Information Response [RFC 4620] 
141 Inverse Neighbor Discovery Solicitation Message [RFC 3122] 
142 Inverse Neighbor Discovery Advertisement Message [RFC 3122] 
144 Home Agent Address Discovery Request Message [RFC 3775] 
145 Home Agent Address Discovery Reply Message [RFC 3775] 
146 Mobile Prefix Solicitation [RFC 3775] 
147 Mobile Prefix Advertisement [RFC 3775] 
148 Certification Path Solicitation Message [RFC 3971] 
149 Certification Path Advertisement Message [RFC 3971] 
151 Multicast Router Advertisement [RFC 4286] 
152 Multicast Router Solicitation [RFC 4286] 
153 Multicast Router Termination [RFC 4286] 


7.1.4 1IPv6 对 IPv4 的 改进 


与 IPv4 相 比 ，IPv6 有 下 列 改 进 : 

(1) 寻 址 能 力 方面 的 扩展 。 人 P 地 址 增加 到 128 位 ， 并 且 能 够 支持 多 级 地 址 层次 ;， 地址 自动 
配置 功能 简化 了 网 络 地 址 的 管理 工作 ; 在 组 播 地 址 中 增加 了 范围 字段 ， 改 进 了 组 播 路 由 的 可 伸 
缩 性 ;增加 的 任意 播 地址 比 IPv4 中 的 广播 地 址 更 加 实用 。 

(2) 分 组 头 格式 得 到 简化 。IPv4 头 中 的 很 多 字段 被 丢弃 ，IPv6 头 中 字段 的 数量 从 12 个 降 
到 了 8 个， 中 间 路 由 器 必须 处 理 的 字段 从 6 个 降 到 了 4 个， 这 样 就 简化 了 路 由 器 的 处 理 过 程 ， 
提高 了 路 由 选择 的 效率 。 

(3) 改进 了 对 分 组 头 部 选项 的 支持 。 与 IPv4 不 同 ， 路 由 选项 不 再 集成 在 分 组 头 中 ， 而 是 
把 扩展 头 作为 任 选项 处 理 , 仅 在 需要 时 才 插入 到 IPv6 头 与 负载 之 间 。 这 种 方式 使 得 分 组 头 的 处 
理 更 灵活 ， 也 更 流畅 。 以 后 如 果 需 要 ， 还 可 以 很 方便 地 定义 新 的 扩展 功能 。 

(4) 提供 了 流标 记 能 力 。IJPv6 增加 了 流标 记 ， 可 以 按照 发 送 端的 要 求 对 某 些 分 组 进行 特别 
的 处 理 ， 从 而 提供 了 特别 的 服务 质量 支持 ， 简 化 了 对 多 媒体 信息 的 处 理 ， 可 以 更 好 地 传送 具有 
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实时 需求 的 应 用 数据 。 
7.2 移动 IP 


当 笔记 本 电脑 迅速 普及 的 时 候 ， 很 多 用 户 因为 不 能 在 异地 连 网 而 感到 苦恼 。 在 当前 使 用 的 
系统 中 ，IPv4 地 址 分 为 网 络 地 址 和 主机 地 址 两 个 部 分 。 当 用 户主 机 配置 了 静态 地 址 (例如 
160.40.20.10/16) 时 ， 所 有 路 由 器 中 都 记录 了 到 达 该 网 络 (160.40) 的 路 由 ， 若 用 户 不 在 自己 的 
局 域 网 中 ， 就 收 不 到 发 送 给 他 的 信息 了 。 在 新 的 连 网 地 点 配置 一 个 新 地 址 的 方法 缺乏 吸引 力 ， 
一 般 用 户 难以 掌握 重新 配置 地 址 的 工作 , 即使 重新 配置 后 , 也 可 能 影响 主机 中 的 各 种 应 用 软件 。 

解决 这 个 问题 的 另 一 种 思路 是 在 路 由 器 中 使 用 完整 的 人 P 地 址 进行 路 由 选择 ， 但 这 样 就 会 
大 大 增加 路 由 表 项 ， 使 得 路 由 设备 的 工作 效率 更 低 ， 所 以 也 是 行 不 通 的 。 

那么 ， 能 和 否 在 新 的 连 网 地 点 自动 重新 建立 连接 ， 从 依赖 于 固定 地 点 的 连接 过 渡 到 灵活 的 移 
动 连接 是 一 个 新 的 研究 课题 ， 为 此 ，IETF 成 立 了 专门 的 工作 组 ， 并 预 设 了 下 列 研究 目标 : 

。 ”移动 主机 能 够 在 任何 地 方 使 用 它 的 家 乡 地 址 进行 连 网 。 

。 不 允许 改变 主机 中 的 软件 。 

。 不 允许 改变 路 由 器 软件 和 路 由 表 的 结构 。 

。 ”发 送 给 移动 主机 的 大 部 分 分 组 不 需要 重新 路 由 。 

。 ”移动 主机 在 家 乡 网 络 中 的 上 网 活动 无 须 增加 任何 开销 。 

IETF 给 出 的 解决 方案 是 RFC 3344 (IP Mobility Support for IPv4) 和 RFC 3775 (Mobility 
Support in IPv6)。 这 一 节 讲述 这 两 个 标准 的 主要 内 容 。 


7.2.1 移动 IP 的 通信 过 程 


RFC 3344 给 出 的 解决 方案 是 增强 IPv4 协议 , 使 其 能 够 把 下 数据 报 路 由 到 移动 主机 当前 所 
在 的 连接 站 点 。 按 照 这 个 方案 ， 每 个 移动 主机 配置 了 一 个 家 乡 地 址 (home address) 作为 永久 
标识 。 当 移动 主机 离开 家 乡 网 络 时 ,通过 所 在 地 点 的 外 地 代理 , 它 被 赋予 了 一 个 转交 地 址 (care-of 
address)。 协 议 提 供 了 一 种 注册 机 制 ， 使 得 移动 主机 可 以 通过 家 乡 地 址 获得 转交 地 址 。 家 乡 代 
理 通过 安全 隧道 可 以 把 分 组 转发 给 外 地 代理 ， 然 后 被 提交 给 移动 主机 。 

图 7-9 表示 了 一 个 连接 局 域 网 、 城 域 网 和 无 线 通 信 网 的 广域网 。 在 连 网 的 计算 机 中 ， 有 一 
类 主机 用 铜 缆 或 光纤 连接 在 局 域 网 中 ， 从 来 不 会 移动 ， 我 们 认为 这 些 主机 是 静止 的 。 可 以 移动 
的 主机 有 两 类 ， 一 类 基本 上 是 静止 的 ， 只 是 有 时 候 从 一 个 地 点 移动 到 另 一 个 地 点 ， 并 且 在 任何 
地 点 都 可 以 通过 有 线 或 无 线 连接 进入 Internet; 另 一 类 是 在 运动 中 进行 计算 的 主机 , 它 通过 在 无 
线 通 信 网 中 漫游 来 保持 网 络 连接 。 我 们 所 说 的 移动 主机 包括 了 这 两 类 主机 ， 也 就 是 说 ， 移 动 主 
机 是 指 在 离开 家 乡 网 络 的 远程 站 点 可 以 连 网 工作 的 计算 机 。 
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图 7-9 连接 局 域 网 和 无 线 通信 网 的 广域网 


假定 所 有 移动 主机 都 有 一 个 固定 不 变 的 家 乡 站 点 ， 同 时 也 有 一 个 固定 不 变 的 家 乡 地 址 来 定 
位 它 的 家 乡 网 络 。 这 种 家 乡 地 址 就 像 固定 电话 号 码 一 样 ， 分 别 用 国家 代码 、 地 区 代码 和 座机 号 
来 定位 电话 机 所 在 的 地 理 位 置 .在 图 7-9 所 示 的 WAN 中 ,每 个 局 域 网 中 都 有 一 个 家 乡 代理 (home 
agent) 进程 ， 它 们 的 任务 是 跟踪 属于 本 地 网 络 而 又 在 外 地 连 网 的 移动 主机 ; 同时 还 有 一 个 外 地 
代理 (foreign agent) 进程 ， 其 任务 是 监视 所 有 进行 异地 访问 的 移动 主机 。 当 移动 主机 进入 一 个 
站 点 时 ， 无 论 是 插入 当地 的 网 络 接口 还 是 漫游 到 当地 的 蜂 窜 小区， 主机 都 必须 向 附近 的 外 地 代 
理 进 行 注册 ， 注 册 过 程 如 下 : 

(1) 外 地 代理 周期 性 地 广播 一 个 公告 报 文 ， 宣 布 自己 的 存在 和 自己 的 地 址 ， 新 到 达 的 主机 
等 待 这 样 的 消息 。 如 果 没 有 及 时 得 到 这 个 消息 ， 移 动 主机 可 以 主动 广播 一 个 分 组 来 寻找 附近 的 
外 地 代理 。 

(2) 移动 主机 在 外 地 代理 上 进行 注册 ， 提 供 它 的 家 乡 地 址 、MAC 地 址 和 必要 的 安全 信息 。 

(3) 外 地 代理 与 移动 主机 的 家 乡 代理 进行 联系 ， 告 诉 外 地 代理 的 地 址 以 及 有 关 移 动 主 机 的 
安全 信息 ， 使 得 家 乡 代理 可 以 进行 验证 ， 确 保 不 被 假冒 者 欺骗 。 

(4) 家 乡 代理 检查 安全 信息 正确 后 发 回 一 个 响应 ， 通 知 外 地 代理 (通信 可 以 继续 进行 )。 

(5) 当 外 地 代理 得 到 家 乡 代理 的 响应 后 就 通知 移动 主机 (注册 成 功 )， 移 动 主机 这 时 被 分 
配 了 一 个 转交 地 址 。 

以 后 的 通信 过 程 如 图 7-10 所 示 。 如 果 有 另外 一 个 主机 向 移动 主机 发 送信 息 ， 则 : 

(1) 第 一 个 分 组 被 发 送 到 移动 主机 的 家 乡 地 址 。 

(2) 第 一 个 分 组 通过 隧道 被 转发 到 移动 主机 的 转交 地 址 。 

(3) 家 乡 代理 向 发 送 节点 返回 外 地 代理 的 转交 地 址 。 

(4) 发 送 节点 把 后 续 分 组 通过 隧道 发 送 给 移动 主机 的 转交 地 址 。 

移动 人 P 提供 了 两 种 获取 转交 地 址 的 方式 。 一 种 是 外 地 代理 转交 地 址 (Foreign Agent Care-of 
Address)， 这 种 转交 地 址 是 外 地 代理 在 它 的 代理 公告 报 文中 提供 的 地 址 ， 也 就 是 外 地 代理 的 人 ? 
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地 址 。 在 这 种 情况 下 ， 外 地 代理 是 隧道 的 终点 。 接 收 到 隧道 中 的 数据 后 ， 外 地 代理 要 提取 出 封 
装 的 数据 报 并 提交 给 移动 主机 。 这 种 获取 方式 的 好 处 是 允许 多 个 移动 主机 共享 同一 转交 地 址 ， 
因而 不 会 对 有 限 的 下 地 址 空间 提出 过 多 的 需求 。 


Wireless 发 送 结 点 > 


Cell 





图 7-10 移动 主机 的 通信 过 程 


另外 一 种 获取 模式 是 配置 转交 地 址 (Collocated Care-of Address)， 是 暂时 分 配给 移动 节点 


个 配置 转交 地 址 只 能 被 一 个 移动 节点 使 用 ,可 以 是 通过 DHCP 服务 器 动态 分 配 的 地 址 , 或 是 在 
地 址 缓冲 池 中 选取 的 私 网 地 址 。 这 种 获取 方式 的 好 处 是 移动 主机 成 为 隧道 的 终点 ， 由 移动 主机 
自己 从 隧道 中 提取 发 送 给 它 的 分 组 。 

使 用 配置 转交 地 址 还 有 一 个 好 处 ， 就 是 移动 主机 也 可 以 在 没有 配置 外 地 代理 的 网 络 中 工 
作 。 但 是 这 种 方案 对 有 限 的 IPv4 地 址 空间 增加 了 很 大 的 负担 , 在 外 部 网 络 中 需要 配置 一 个 地 址 
缓冲 池 ， 以 备 移动 主机 来 访问 。 
重要 的 是 要 认真 区 分 转交 地 址 和 外 地 代理 的 功能 。 转 交 地 址 是 隧道 的 终点 ， 它 可 能 是 外 地 
代理 的 地 址 (foreign agent care-of address), 也 可 能 是 移动 主机 获得 的 临时 地 址 (co-located care-of 
address)。 外 地 代理 与 家 乡 代 理 一 样 ， 都 是 为 移动 主机 服务 的 移动 代理 。 


7.2.2 移动 IPv6 





RFC 3775 规范 了 IPv6 对 移动 主机 的 支持 功能 ， 定 义 的 协议 称 为 移动 Pv6。 在 这 个 协议 的 
支持 下 ， 当 移动 节点 连接 到 一 个 新 的 链 路 时 ， 仍 然 可 以 与 其 他 静止 的 或 移动 的 节点 进行 通信 。 
移动 节点 离开 其 家 乡 链 路 对 传输 层 和 应 用 层 协议 、 对 应 用 程序 都 是 透明 的 。 

移动 IPv6 协议 适合 于 同 构 型 介质 ， 也 适合 于 异 构 型 介质 。 例 如 ， 可 以 从 一 个 以 太 网 段 移 
动 到 另 一 个 以 太 网 段 ， 也 可 以 从 一 个 以 太 网 段 移动 到 一 个 无 线 局 域 网 小 区 ， 移 动 节点 的 家 乡 地 
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址 都 无 须 改变 。 
1. 移动 IPv6 的 工作 机 制 


在 移动 IPv6 中 ， 家 乡 地 址 是 带 有 移动 节点 家 乡 子 网 前 级 的 下 地 址 。 当 移动 节点 连接 在 家 
乡 网 络 中 时 ， 发 送 给 家 乡 地 址 的 分 组 通过 常规 的 路 由 机 制 可 以 到 达 移 动 节点 。 当 移动 节点 连接 
到 外 地 链 路 时 ， 可 以 通过 一 个 或 多 个 转交 地 址 对 其 寻 址 。 转 交 地 址 是 具有 外 地 链 路 子 网 前 级 的 
也 地 址 。 移 动 节点 可 以 通过 常规 的 IPv6 机 制 获取 转交 地 址 ， 例 如 10.1.2 小 节 提 到 的 无 状态 或 
全 状态 自动 配置 过 程 。 只 要 移动 节点 停留 在 外 部 某 个 位 置 ， 发 送 给 转交 地 址 的 分 组 都 可 以 被 路 
由 到 移动 节点 。 当 移动 节点 处 于 漫游 状态 时 ， 它 可 能 从 几 个 转交 地 址 接收 分 组 ， 只 要 它 还 能 与 
以 前 的 链 路 保持 连接 。 

移动 节点 的 家 乡 地 址 与 转交 地 址 之 间 的 关联 称 为 绑 定 〈binding)。 当 移动 节点 离开 家 乡 网 
络 时 ， 要 在 家 乡 链 路 上 的 路 由 器 中 注册 一 个 主 转交 地 址 (primary care-of address)， 并 请 求 该 路 
由 器 担任 它 的 家 乡 代理 。 注 册 过 程 要 求 移动 节点 向 家 乡 代理 发 送 一 个 绑 定 更 新 (Binding Update) 
报 文 ， 家 乡 代理 以 绑 定 应 答 (Binding Acknowledgement) 报 文 响应 。 

与 移动 节点 通信 的 节点 称 为 对 端 节点 (correspondent node)。 移 动 节点 通过 “对 端 注册 ” 
过 程 向 对 端 节点 提供 它 当前 的 位 置 ， 并 且 授权 对 端 节点 把 自己 的 家 乡 地 址 与 当前 的 转交 地 址 进 
行 绑 定 。 

移动 节点 与 对 端 节点 之 间 的 通信 有 两 种 方式 。 第 一 种 方式 是 双向 隧道 〈Bidirectional 
Tunneling)， 在 这 种 情况 下 不 需要 移动 IPv6 的 支持 ， 即 使 移动 节点 没有 在 对 端 节点 上 注册 它 当 
前 的 绑 定 也 可 以 进行 通信 。 与 移动 IPv4 一 样 , 对 端 节点 发 出 的 分 组 首先 被 路 由 到 移动 节点 的 家 
乡 代理 , 然后 通过 隧道 被 转发 到 转交 地 址 。 移动 节点 发 出 的 分 组 首先 通过 隧道 发 送 给 家 乡 代理 ， 
然后 按照 正常 的 路 由 过 程 转发 到 对 端 节点 。 在 这 种 模式 下 ， 家 乡 代理 可 以 利用 “邻居 发 现 ” 功 
能 截取 任何 目标 地 址 为 移动 节点 家 乡 地 址 的 IPv6 分 组 , 并 通过 隧道 把 截取 到 的 分 组 传送 到 移动 
节点 的 主 转交 地 址 。 

第 二 种 方式 是 路 由 优化 〈route optimization)， 要 求 移动 节点 把 它 当 前 的 绑 定 信息 注册 到 对 
端 节点 上 ， 对 端 节点 发 出 的 分 组 就 可 以 直接 路 由 到 移动 节点 的 转交 地 址 。 当 对 端 节点 发 送 一 个 
JIPv6 分 组 时 ， 首 先 要 检查 它 缓冲 的 有 关 目 标 地 址 的 绑 定 项 ， 如 果 发 现 该 目标 地 址 已 经 绑 定 了 一 
个 转交 地 址 ， 则 对 端 节点 就 可 以 使 用 一 种 新 的 2 型 路 由 头 〈 见 下 面 的 解释 )， 以 便 把 分 组 路 由 
到 移动 节点 的 转交 地 址 。 指 向 移动 节点 转交 地 址 的 路 由 分 组 选择 最 短 的 路 径 到 达 目 标 ， 这 种 通 
信 方 式 缓和 了 移动 节点 家 乡 代理 和 家 乡 链 路 上 的 通信 拥塞 ， 而 且 家 乡 代理 或 网 络 通路 上 的 任何 
失效 所 产生 的 影响 都 被 减 至 最 小 。 

移动 IPv6 也 支持 多 个 家 乡 代 理 ， 并 有 限 地 支持 家 乡 网 络 的 重新 配置 。 在 这 种 情况 下 ， 移 
动 节点 也 许 不 知道 家 乡 代理 的 下 地址， 甚至 家 乡 子 网 前 级 改变 时 它 也 不 知道 。 有 一 种 叫 作 “家 
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乡 代理 地 址 发 现 ” 的 机 制 (ICMPv6 144，145 报 文 )， 人 允许 移动 节点 动态 地 发 现 家 乡 代理 的 人 
地 址 ， 即 使 移动 节点 离开 其 家 乡 网 络 也 可 以 工作 。 移 动 节点 也 可 以 学 习 新 的 信息 ， 通 过 “移动 
前 缀 请求” 机制 (ICMPv6 146，147 报 文 ) 来 了 解 家 乡 子 网 前 级 的 变化 情况 。 这 些 功 能 都 需要 
ICMPv6 的 支持 。 
移动 IPv6 的 实现 对 IPv6 的 通信 节点 和 路 由 器 提出 了 以 下 特殊 要 求 。 
。 ”对 通信 节点 的 要 求 : 每 个 IPv6 节点 都 可 能 成 为 某 个 移动 主机 的 对 端 节点 ， 所 以 每 个 
JPv6 节点 都 必须 能 够 处 理 包含 在 IPv6 数据 包 中 的 “家 乡 地 址 ”选项 。 每 个 IPv6 节点 
应 能 处 理 接收 到 的 “ 绑 定 更 新 ”选项 ， 并 能 返回 “ 绑 定 应 答 ” 选 项 。 每 个 IPv6 节点 应 
进行 绑 定 管理 。 
。 ”对 路 由 器 的 要 求 : IPv6 路 由 器 应 该 支持 相 邻 节点 的 搜索 功能 ， 支 持 ICMPv6 路 由 器 发 
现 机 制 。 每 个 IPv6 路 由 器 都 应 该 能 够 以 更 快 的 速率 发 送 “ 路 由 器 广播 ” 消息。 在 移动 
主机 的 家 乡 链 路 上 至 少 应 该 有 一 个 路 由 器 作为 它 的 家 乡 代理 。 


2. 路 由 扩展 头 
图 7-3 中 的 路 由 选择 扩展 头 称 为 0 型 路 由 头 , 用 于 一 般 的 松散 源 路 由 。 为 了 支持 移动 IPv6， 


RFC 3775 中 又 定义 了 一 种 新 的 2 型 路 由 头 ， 如 图 7-11 所 示 ， 其 中 提供 的 路 由 地 址 只 有 一 
个 一 一 移动 节点 的 家 乡 地 址 。 








图 7-11 2 型 路 由 扩展 头 


当 一 个 2 型 路 由 分 组 指向 移动 节点 时 ， 对 端 节点 应 把 IPv6 头 中 的 目标 地 址 设置 为 移动 节 
点 的 转交 地 址 ， 路 由 头 用 来 承载 移动 节点 的 家 乡 地 址 。 分 组 到 达 转 交 地 址 后 ， 移 动 节点 要 在 路 
由 头 中 检查 自己 的 家 乡 地 址 ， 排 除 转发 来 的 错误 分 组 。 类 似 地 ， 移 动 节点 发 送 给 对 端 节点 的 分 
组 中 的 源 地 址 也 是 它 当前 的 转交 地 址 ， 并 在 2 型 路 由 头 中 说 明 自己 的 家 乡 地 址 。 采 用 这 种 路 由 
头 ， 把 家 乡 地 址 加 入 到 路 由 头 中 ， 使 得 转交 地 址 对 网 络 层 之 上 成 为 透明 的 。 


3， 移动 扩 展 头 


移动 头 是 一 种 新 的 、 支 持 移动 IPv6 的 扩展 头 ， 移 动 节点 、 对 端 节点 和 家 乡 代理 在 生成 和 
E 绑 定 的 过 程 中 都 要 使 用 移动 头 来 传输 信息 。 图 7-12 画 出 了 移动 头 的 格式 。 


叫 
es] 
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报 文 数据 











图 7-12 IPv6 的 目标 选项 头 


由 于 为 移动 头 指 定 的 代码 是 135， 所 以 在 前 面 的 扩展 头 中 要 用 135 来 指向 移动 头 ， 其 中 的 
字段 解释 如 下 。 
。 负载 的 协议 (Payload Protocol): 8 比特 的 选择 符 ， 用 于 标识 紧 跟 着 的 扩展 头 。 
。 ” 头 长 度 (Header Len): 8 字 节 的 倍数 ， 除 了 前 8 个 字 节 。 
。 ”MH 类 型 : 8 比特 的 选择 符 ， 说 明 移动 报 文 的 类 型 。 
> _MH=0: 绑 定 刷新 请 求 报 文 (Binding Refresh Request Message，BRR)， 由 对 端 节 
点 发 送 给 移动 节点 ， 请 求 更 新 它 的 移动 绑 定 。 
> MH=1: 家 乡 测试 初始 化 报 文 (Home Test Init Message，HoTI)， 由 移动 节点 发 送 
给 对 端 节点 ， 用 于 测试 可 达 性 ， 并 对 家 乡 地 址 进行 验证 。 
> MH==2: 转交 测试 初始 化 报 文 (Care-of Test Init Message，CoTI)， 由 移动 节点 发 
送 给 对 端 节点 ， 用 于 测试 可 达 性 ， 并 对 转交 地 址 进行 验证 。 
> MH=3: 家 乡 测试 报 文 (Home Test Message，HoT)， 由 对 端 节点 发 送 给 移动 节点 
的 报 文 ， 是 对 HoTI 的 响应 。 
> MH=4: 转交 测试 报 文 (Care-of Test Message，CoT)， 由 对 端 节点 发 送 给 移动 节 
点 的 报 文 ， 是 对 CoTI 的 响应 。 
> MH 二 5: 绑 定 更 新 报 文 (Binding Update Message，BU)， 由 移动 节点 发 出 ， 通 知 
其 他 节点 绑 定 一 个 新 的 转交 地 址 。 
> MH 二 6: 绑 定 应 答 报 文 (Binding Acknowledgement Message，BA)， 对 绑 定 更 新 报 
文 的 应 答 。 
> MH=7: 绑 定 出 错 报 文 (Binding Error Message，BE)， 由 对 端 节点 发 出 的 移动 性 
出 错 报 文 ， 例 如 失去 绑 定 信息 等 。 
。 报 文 数据 : 指 以 上 8 种 类 型 的 报 文 数据 。 


4. 移动 IPv6 和 移动 IPv4 的 比较 


移动 IPv6 的 设计 吸取 了 移动 IPv4 开发 过 程 中 积累 的 经 验 , 同时 也 得 益 于 IPv6 网 络 提供 的 
许多 新 功能 ， 下 面 对 移 动 IPv6 与 移动 Pv4 做 一 比较 (参见 表 7-5)。 
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表 7-5 移动 IPv4 和 IPv6 的 比较 








移动 IPv4 的 概念 移动 IPv6 的 概念 
移动 节点 、 家 乡 代理 、 家 乡 链 路 、 外 地 链 路 相同 
移动 节点 的 家 乡 地 址 全 球 可 路 由 的 家 乡 地 址 或 链 路 本 地 地 址 
外 地 代理 外 地 链 路 上 的 IPv6 路 由 器 〈 不 再 有 外 地 代理 ) 





两 种 转交 地 址 〈 外 地 代理 转交 地 址 和 配置 转交 


地 址 ) 


所 有 转交 地 址 都 是 配置 转交 地 址 





通过 代理 搜索 、DHCP 或 手工 配置 得 到 转交 地 址 


通过 无 状态 自动 配置 、DHCP 或 手工 配置 得 到 转 
交 地 址 





代理 搜索 


路 由 器 搜索 





向 家 乡 代理 进行 认证 注册 
到 移动 节点 的 数据 采用 隧道 传送 
由 其 他 协议 完成 路 由 优化 





向 家 乡 代理 和 其 他 通信 伙伴 进行 认证 绑 定 
到 移动 节点 的 数据 传送 可 采用 隧道 或 路 由 优化 
集成 了 路 由 优化 





移动 节点 通过 常规 的 IPv6 地 址 分 配 机 制 (无 状态 或 全 状态 自动 配置 过 程 ) 获取 转交 地 
址 ， 与 移动 IPv4 相 比 ， 简 化 了 转交 地 址 的 分 配 过 程 。 

在 运行 移动 IPv6 的 系统 中 , 移动 节点 在 家 乡 网 络 之 外 的 任何 网 络 中 操作 都 不 需要 本 地 
路 由 器 的 支持 ， 因 而 排除 了 移动 IPv4 中 增加 的 外 地 代理 功能 。 

每 个 IPv6 主机 都 具备 对 端 节点 的 功能 。 当 与 运行 移动 IPv6 的 主机 通信 时 ， 每 个 IPv6 
主机 都 可 以 执行 路 由 优化 功能 ， 从 而 避免 了 移动 Pv4 中 的 三 角 路 由 问题 。 

移动 IPv6 定义 了 两 种 通信 模式 ， 但 是 采用 隧道 通信 的 机 会 很 少 。 事 实 上 ， 通 常 只 有 对 
端 节点 发 送 的 第 一 个 分 组 是 由 家 乡 代理 转发 的 ， 当 移动 节点 向 家 乡 代理 发 送 “ 绑 定 更 
新 ”消息 后 ， 其 他 的 后 续 分 组 都 会 通过 路 由 头 进行 传送 ， 这 样 就 大 大 减少 了 网 络 的 通 
信 开 销 。 

移动 PPv6 利用 了 IPv6 的 安全 机 制 ， 简 化 了 隧道 状态 的 管理 ， 即 使 是 利用 隧道 方式 进 
行 通信 ， 也 比 移动 IPv4 的 效率 高 。 

移动 IPv6 改进 了 IPv6 的 邻居 发 现 机 制 ， 用 来 查找 本 地 路 由 器 ， 这 样 就 避免 了 IPv4 中 
使 用 的 ARP 协议 ， 改 进 了 系统 的 健壮 性 。 














7.3 从 IPv4 向 1Pv6 的 过 渡 


一 种 新 的 协议 从 诞生 到 广泛 应 用 需要 一 个 过 程 。 在 IPv6 网 络 全 球 普遍 部 署 之 前 ， 一 些 首 


先 运行 IPV6 的 网 络 希望 能 够 与 当前 运行 IPv4 的 互联 网 进行 通信 。 为 了 这 一 目的 ，IETF 成 立 了 
专门 的 工作 组 NGTRANS 来 研究 从 IPv4 向 IPv6 过 渡 的 问题 ， 提 出 了 一 系列 的 过 渡 技术 和 互 连 
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方案 。 这 些 技术 各 有 特点 ， 用 于 解决 不 同 过 渡 时 期 、 不 同 网 络 环境 中 的 通信 问题 。 

在 过 渡 初 期 ， 互 联网 由 运行 Pv4 的 “海洋 ”和 运行 IPv6 的 “孤岛 ”组 成 。 随 着 时 间 的 推 
移 ， 海 洋 会 逐渐 变 小 ， 孤 岛 将 越 来 越 多 ， 最 终 IPv6 会 完全 取代 IPv4。 过 渡 初 期 要 解决 的 问题 
可 以 分 成 两 类 : 第 一 类 是 解决 IPv6 孤岛 之 间 互 相通 信 的 问题 ， 第 二 类 是 解决 IPv6 孤岛 与 IPv4 
海洋 之 间 的 通信 和 问题。 目前 提出 的 过 渡 技术 可 以 归纳 为 以 下 3 种 。 

。 ”隧道 技术 : 用 于 解决 IPv6 节点 之 间 通 过 IPv4 网 络 进行 通信 的 问题 。 

。 ” 双 协 议 栈 技术 : 使 得 IPv4 和 IPv6 可 以 共存 于 同一 设备 和 同一 网 络 中 。 

。 ”翻译 技术 : 使 得 纯 IPv6 节点 与 纯 IPv4 节点 之 间 可 以 进行 通信 。 


7.3.1 隧道 技术 


所 谓 隧道 ,就 是 把 IPv6 分 组 封装 到 IPv4 分 组 中 ,通过 IPv4 网 络 进行 转发 的 技术 。 这 种 隧 
道 就 像 一 条 虚拟 的 IPv6 链 路 一 样 ， 可 以 把 IPv6 分 组 从 IPv4 网 络 的 一 端 传送 到 另 一 端 ， 在 传送 
期 间 对 原始 Pv6 分 组 不 做 任何 改变 。 在 隧道 两 端 进行 封装 和 解 封 的 网 络 节点 可 以 是 主机 , 也 可 
以 是 路 由 器 。 根 据 隧道 端 节点 的 不 同 ， 可 以 分 为 下 面 4 种 不 同 的 隧道 ; 

。 ”主机 到 主机 的 隧道 。 

。 ”主机 到 路 由 器 的 隧道 。 

。 ”路 由 器 到 路 由 器 的 隧道 。 

。 ”路 由 器 到 主机 的 隧道 。 

建立 隧道 可 以 采用 手工 配置 的 方法 ， 也 可 以 采用 自动 配置 的 方法 。 手 工 配置 的 方法 管理 不 
方便 ， 对 大 的 网 络 更 是 如 此 ， 下 面 主要 分 析 IETF 提出 的 各 种 自动 隧道 技术 。 


1， 隧 道中 介 技 术 


图 7-13 画 出 了 IPv6 分 组 通过 IPv4 隧道 传送 的 方法 。 隧 道 端点 的 IPv4 地 址 由 隧道 封装 节 
点 中 的 配置 信息 确定 。 这 种 配置 方式 要 求 隧道 端点 必须 运行 双 协 议 栈 ， 两 个 端点 之 间 不 能 使 用 
NAT 技术 ， 因 为 Pv4 地 址 必须 是 全 局 可 路 由 的 。 


BS IPv6 my IPv6 


图 7-13 人工 配置 的 隧道 

















对 于 IPv4/IPv6 双 栈 主机 ， 可 以 配置 一 条 默认 的 隧道 ， 以 便 把 不 能 连接 到 任何 IPv6 路 由 器 
的 分 组 发 送出 去 。 双 栈 边界 路 由 器 的 IPv4 地 址 必须 是 已 知 的 ， 这 是 隧道 端点 的 地 址 。 这 种 默认 
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隧道 建立 后 ， 所 有 的 IPv6 目标 地 址 都 可 以 通过 隧道 传送 。 

对 于 小 型 的 网 络 ， 人 工 配 置 隧道 是 容易 的 ， 但 是 对 于 大 型 网 络 ， 这 个 方法 就 很 困难 了 。 有 
一 种 叫 作 隧 道中 介 (Tunnel Broker) 的 技术 可 以 解决 这 个 难题 。 图 7-14 表示 通过 隧道 服务 器 配 
署 隧道 端点 的 方法 。 隧 道 服务 器 是 一 种 即 插 即 用 的 IPv6 技术 ,通过 IPv4 网 络 可 以 进行 IPv6 分 
组 的 传送 。 在 客户 机 请 求 的 前 提 下 ， 来 自 隧道 服务 器 的 配置 脚本 被 发 送 给 客户 机 ， 客 户 机 利用 
收 到 的 配置 数据 来 建立 隧道 端点 ， 从 而 建立 了 一 条 通 向 IPv6 网 络 的 连接 。 这 种 技术 要 求 客户 机 
节点 必须 被 配置 成 双 协议 栈 ， 客 户 机 的 IPv4 地 址 必须 是 全 局 地 址 ， 不 能 使 用 NAT 进行 地 址 
转换 。 


隧道 代理 





用 户 DB 


隧道 服务 器 
( 双 协 议 栈 》 
图 7-14 ”隧道 中 介 


2. 自动 隧道 


两 个 双 栈 主 机 可 以 通过 自动 隧道 在 IPv4 网 络 中 进行 通信 。 图 7-15 显示 了 自动 隧道 的 网 络 
拓扑 。 实 现 自动 隧道 的 节点 必须 采用 IPv4 兼容 的 IPv6 地 址 。 


Ss 


IPv6 主 机 双 栈 路 由 器 双 栈 主机 
A B 


7-15 ”自动 隧道 
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当 分 组 进入 双 栈 路 由 器 时 ， 如 果 目 标 地 址 是 IPv4 兼容 的 地 址 ， 分 组 就 被 重 定 向 ， 并 自动 
建立 一 条 隧道 。 如 果 目 标 地 址 是 当地 的 了 Pv6 地 址 (Native Address)， 则 不 会 建立 自动 隧道 。 被 
传送 的 分 组 决定 了 隧道 的 端点 ， 目 标 IPv4 地 址 取 自 IPv6 地 址 的 低 32 位 ， 源 地 址 是 发 送 分 组 的 
接口 的 IPv4 地 址 。 自 动 隧道 不 需要 改变 主机 配置 , 缺点 是 对 两 个 主机 不 透明 ， 因 为 目标 节点 必 
须 对 收 到 的 分 组 进行 解 封 。 

在 图 7-15 中 ， 地 址 分 配 如 下 : 


从 主机 A 到 主机 B 的 分 组 : 源 地 址 =IPv6 目标 地 址 =0::IPv4(B) 
从 路 由 器 到 主机 也 的 隧道 源 地 址 =IPv4 目标 地 址 =IPv4 
从 主机 B 到 路 由 器 的 隧道 源 地 址 =IPv4 目标 地 址 =IPv4 


从 主机 B 到 主机 A 的 分 组 : 源 地 址 =0::IPv4(B) 目标 地 址 =IPv6 

实现 自动 隧道 要 根据 不 同 的 网 络 配置 和 不 同 的 通信 环境 采用 不 同 的 具体 技术 ， 下 面 分 别 进 
行 叙 述 。 

3. 6to4 隧道 


6to4 是 一 种 支持 卫 v6 站 点 通过 IPv4 网 络 进行 通信 的 技术 ， 这 种 技术 不 需要 显 式 地 建立 隧 
道 ， 可 以 使 得 一 个 原生 的 Pv6 站 点 通过 中 继 路 由 器 连接 到 IPv6 网 络 中 。 

IANA 在 可 聚合 全 球 单 播 地 址 范围 内 指定 了 一 个 格式 前 缀 0x2002 来 表示 6to4 地 址 。 例 如 
全 局 IPv4 地 址 192.0.2.42 对 应 的 6to4 前 缀 就 是 2002:c000:022a::/48, 其 中 ,c000:022a 是 192.0.2.42 
的 十 六 进 制 表示 。 除 了 48 位 前 缀 之 外 ， 后 面 还 有 16 位 的 子 网 地 址 和 64 位 的 主机 接口 ID。 通 
常 把 带 有 16 位 前 级 “2002” 的 IPv6 地 址 称 为 6to4 地 址 ， 而 把 不 使 用 这 个 前 级 的 IPv6 地 址 称 
为 原生 地 址 (Native Address)。 

中 继 路 由 器 是 一 种 经 过 特别 配置 的 路 由 器 ， 用 于 在 原生 IPv6 地 址 与 6to4 地 址 之 间 进 行 转 
换 。6to4 技术 都 是 在 边界 路 由 器 中 实现 的 ， 不 需要 对 主机 的 路 由 配置 做 任何 改变 。 地 址 选择 方 
案 应 该 保证 在 任何 复杂 的 拓扑 中 都 能 进行 正确 的 6to4 操作 ， 这 意味 着 如 果 一 个 主机 只 有 6to4 
地 址 ， 而 另 一 个 主机 有 6to4 地 址 和 原生 IPv6 地 址 ， 则 两 个 主机 必须 用 6to4 地 址 进行 通信 。 如 
果 两 个 主机 都 有 6to4 地 址 和 原生 IPv6 地 址 ， 则 两 者 都 要 使 用 原生 IPv6 地 址 进行 通信 。 

6to4 路 由 器 应 该 配置 双 协 议 栈 ， 应 该 具有 全 局 IPv4 地 址 ， 并 能 实现 6to4 地 址 转换 。 这 种 
方法 对 IPv4 路 由 表 不 增加 任何 选项 ， 只 是 在 IPv6 路 由 表 中 引入 了 一 个 新 的 选项 。 

6to4 路 由 器 应 该 向 本 地 网 络 公告 它 的 6to4 前 级 2002:IPv4::/48， 其 中 ，IPv4 是 路 由 器 的 全 
局 IPv4 地 址 。 在 本 地 IPv6 网 络 中 的 6to4 主机 要 使 用 这 个 前 级 ， 可 以 用 作 自 动 的 地 址 赋值 ,或 
用 作 IPv6 路 由 ， 或 用 在 6over4 机 制 中 。 

用 6to4 技术 连接 的 两 个 主机 如 图 7-16 所 示 。 在 6to4 主机 A 发 出 的 分 组 经 过 各 个 网 络 到 达 
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主机 B 的 过 程 中 ， 地 址 变化 情况 如 图 7-17 所 示 ， 这 些 地 址 转换 都 是 在 6to4 路 由 器 中 自动 进 
行 的 。 


前 缀 2002:IPv4(1)::/48 前 缀 2002:IPv4(2)::/48 
6to4 


6to4 
主机 A 贞 主轴 B 


Gto4 Gto4 
路 由 器 路 由 器 


图 7-16 两 个 6to4 主机 之 间 的 通信 


Ss 
IPv4 Header 
sre: IPv40) 
dst: IPW4 
A A 
Header Header 
:IPvA(1):0: EULG4 1 IPeAI):0: EULG4 
EULG4 :EULG4 


注 : EUI-64 (Extended Unique Identifier) 是 IEEE 定义 的 64 位 标识 符 ， 前 24 位 OUI 
(Organizationally Unique Identifier) 由 机 构 向 IEEE 购买 ， 后 40 位 由 机 构 自行 分 配 


7-17 两 个 6to4 主机 通信 时 的 分 组 头 
6to4 技术 也 支持 原生 IPv6 站 点 到 6to4 站 点 的 通信 ， 如 图 7-18 所 示 ， 其 通信 过 程 如 下 : 


主机 A yy 蕊 主机 B 


TIPv40D TIPv4O) 





Gto4 Gto4 
中 继 路 由 器 1 路 由 器 2 


图 7-18 原生 IPv6 主机 到 6to4 主机 的 通信 


。 原生 IPv6 主机 A 的 地 址 为 IPv6 (A)。 
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。 6to4 中 继 路 由 器 1 向 原生 IPv6 网 络 公告 它 的 地 址 前 绥 2002::/16, 这 个 地 址 前 绥 被 保存 
在 主机 A 的 路 由 表 中 。 

。 6to4 路 由 器 2 对 6to4 网 络 公告 它 的 地 址 前 级 2002:IPv4(2):-/48， 于 是 6to4 主机 B 获得 
地 址 2002:IPv4(2)::EUI-64 (B)。 

。 ”当主 机 A 向 主机 B 发 送 分 组 时 ,6to4 中 继 路 由 器 1 对 分 组 进行 封装 , 即 源 地 址 =IPv4(1)， 
目标 地 址 =IPv4(2)。 

。 ” 当 分 组 到 达 6to4 路 由 器 2 时 分 组 被 解 封 ， 并 转发 到 主机 B。 

6to4 技术 还 可 以 支持 6to4 站 点 到 原生 IPv6 站 点 的 通信 ， 如 图 7-19 所 示 ， 通 信 过 程 如 下 : 


主机 A 出 区 主机 B 





JPv4G) 
Gto4 Gto4 
中 继 路 由 器 3 路 由 器 2 


图 7-19 6to4 主机 到 原生 IPv6 主机 的 通信 


。 主机 A 的 地 址 为 IPv6(A)。 
。 主机 B 的 地 址 为 2002:IPv4(2)::EUI-64(B)。 
。 ”6to4 路 由 器 2 有 一 条 到 达 6to4 中 继 路 由 器 3 的 默认 路 由 , 这 个 路 由 项 可 以 是 静态 配置 
的 ， 或 是 动态 获得 的 。 
。 当主 机 了 向 主机 A 发 送 分 组 时 ，6to4 路 由 器 2 对 分 组 进行 封装 ， 源 地 址 =IPv4(2)， 目 
标 地 址 =IPv4(3)。 
。 ”6to4 中 继 路 由 器 3 对 分 组 解 封 ， 并 转发 到 主机 A。 
6to4 技术 对 于 两 个 6to4 网 络 之 间 的 通信 是 很 有 效 的 ， 但 是 对 于 原生 IPv6 网 络 与 6to4 网 络 
之 间 的 通信 效率 不 高 。 由 于 不 需要 改变 主机 的 配置 ， 只 需 在 路 由 器 中 进行 很 少 的 配置 ， 所 以 这 
种 方法 的 主要 优点 是 简单 可 行 。 


4. 6over4 隧道 


1) 链 路 本 地 地 址 的 自动 生成 

RFC 2529 定义 的 6over4 是 一 种 由 IPv4 地 址 生成 Pv6 链 路 本 地 地 址 的 方法 。IPv4 主机 的 
接口 标识 符 是 在 该 接口 的 了 v4 地 址 前 面 加 32 个 “0” 形 成 的 64 位 标识 符 。IPv6 链 路 本 地 地 址 
的 格式 前 级 为 FE80::/64， 在 其 后 面 加 上 64 位 的 IPv4 接口 标识 符 就 形成 了 完整 的 IPv6 链 路 本 
地 地 址 。 例 如 对 于 主机 地 址 192.0.2.142， 对 应 的 IPv6 链 路 本 地 地 址 为 FE80::C000:028E 
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(C000028E 是 192.0.2.142 的 十 六 进 制 表示 )。 这 种 由 IPv4 地 址 生成 IPv6 地 址 的 方法 就 是 本 章 
前 面 提 到 的 无 状态 自动 配置 方式 。 

2) 组 播 地 址 映像 

一 个 孤立 在 IPv4 网 络 中 的 IPv6 主机 为 了 发 现 它 的 IPv6 邻居 〈 主 机 或 路 由 器 )， 通 常 采用 
的 方法 是 组 播 ICMPv6 邻居 邀请 (Neighbor Solicitation) 报 文 ， 并 期 望 接收 到 对 方 的 邻居 公告 
(Neighbor Advertisement) 报 文 ， 以 便 从 中 获取 邻居 的 链 路 层 地 址 。 但 是 在 IPv4 网 络 中 ， 承 载 
ICMPv6 报 文 的 IPv6 分 组 必须 封装 在 IPv4 报 文中 传送 ， 所 以 作为 基础 通信 网 络 的 IPv4 网 络 必 
须 配置 组 播 功 能 。 

RFC 2529 规定 ，IPv6 组 播 分 组 要 封装 在 目标 地 址 为 239.192.x.y 的 IPv4 分 组 中 发 送 , 其 中 
x 和 y 是 IPv6 组 播 地 址 的 最 后 两 个 字 节 。 值 得 注意 的 是 ，239.192.0.0/16 是 IPv4 机 构 本 地 范围 
(Organization-Local Scope) 内 的 组 播 地 址 块 ， 所 以 实现 6over4 主机 都 要 位 于 同一 IPv4 组 播 区 
域内 。 

3) 邻居 发 现 

IPv6 邻居 发 现 的 过 程 如 下 : 首先 是 IPv6 主机 组 播 ICMPv6 邻居 邀请 报 文 ， 然 后 是 收 到 对 
方 的 邻居 公告 报 文 ， 其 中 包含 了 64 位 的 链 路 层 地 址 。 当 链 路 层 属 于 IPv4 网 络 时 ， 邻 居 公告 报 
文 返回 的 链 路 层 地 址 形式 如 下 : 

[ 关 型 | 长度 | o |。 [wx [yy | :| 

以 上 每 个 字段 的 长 度 都 是 8 比特 ， 其 中 类 型 =1 表示 源 链 路 层 地 址 ， 类 型 =2 表示 目标 链 路 
层 地 址 , 长 度 =1( 以 8 个 字 节 为 单位 ), wx.y.z 为 IPv4 地 址 。 当 IPv6 主机 获得 了 对 方 主机 的 IPv4 
地 址 后 ， 就 可 以 用 无 状态 自动 配置 方式 构造 源 和 目标 的 链 路 本 地 地 址 ， 向 通信 对 方 发 送 IPv6 
分 组 了 。 当 然 ，IPv6 分 组 还 是 要 封装 在 Pv4 分 组 中 传送 的 。 

采用 6over4 通信 的 IPv6 主机 不 需要 采用 IPv4 兼容 的 地 址 ， 也 不 需要 手工 配置 隧道 。 按 照 
这 种 方法 传送 IPv6 分 组 , 与 底层 链 路 配置 无 关 。 如 果 了 Pv6 主机 发 现 了 同一 IPv4 子 网 内 的 了 Pv6 
路 由 器 ， 那 么 还 可 以 通过 该 路 由 器 与 其 他 IPv6 子 网 中 的 主机 进行 通信 ， 这 时 原来 孤立 的 IPv6 
主机 就 变 成 全 功能 的 IPv6 主机 了 。 

图 7-20 画 出 了 两 个 6over4 主机 进行 通信 的 情况 , 发 起 通信 的 主机 A 利用 IPv6 的 邻居 发 现 
机 制 来 获取 另外 一 个 主机 B 的 链 路 层 地 址 ， 然 后 主机 B 发 出 的 公告 报 文 返回 了 自己 的 了 Pv4 地 
址 。 通 过 无 状态 自动 配置 过 程 ， 主 机 A 和 主机 B 就 建立 了 一 条 虚拟 的 IPv6 连接 ， 就 可 以 进行 
IPv6 通信 了 。 

6over4 依赖 于 IPv4 组 播 功 能 ， 但 是 在 很 多 IPv4 网 络 环境 中 并 不 支持 组 播 ， 所 以 6over4 技 
术 在 实践 中 受到 一 定 的 限制 ， 在 有 些 操作 系统 中 无 法 实现 。 另 外 一 个 限制 条 件 是 ，IPv6 主机 连 
接 路 由 器 的 链 路 应 该 处 于 IPv4 组 播 路 由 范围 之 内 。 
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籽 一 过 圭一 :一世 


6over4 r4 


IPv6 
主机 A 主机 B 


图 7-20 两 个 IPv6 主机 之 间 的 6over4 通信 





$5. ISATAP 


RFC 4214 定义 了 一 种 自动 隧道 技术 一 一 ISATAP (Intra-Site Automatic Tunneling Addressing 
Protocol)， 这 种 隧道 可 以 穿 透 NAT 设备 ， 与 私 网 之 外 的 主机 建立 IPv6 连接 。 

正如 该 协议 的 名 字 所 暗示 的 那样 ，ISATAP 意味 着 通过 IPv4 地 址 自动 生成 Pv6 站 点 本 地 
地 址 或 链 路 本 地 地 址 ，IPv4 地 址 作为 隧道 的 端点 地 址 ， 把 IPv6 分 组 被 封装 在 IPv4 分 组 中 进行 
传送 。 

图 7-21 表示 两 个 ISATAP 主机 通过 本 地 网 络 进行 通信 的 例子 。 假 定 主机 A 的 格式 前 级 为 
FE80::/48〔 链 路 本 地 地 址 )， 加 上 64 位 的 接口 标识 符 ::0:SEFE:wx.yz (wx.y.z 是 主机 A 的 IPv4 
单 播 地 址 )， 这 样 就 构成 了 IPv6 链 路 本 地 地 址 ， 就 可 以 与 同一 子 网 内 的 其 他 ISATAP 主机 进行 
JIPv6 通信 了 。 具 体 地 说 ， 主 机 A 向 主机 B 发 送 分 组 时 采用 的 地 址 如 下 。 





ISATAP ISATAP 
主机 A 主机 B 
一 一 号 
( 
< a < 
10.40.1.29 
192.168.41.30 


FE80::5EFE:10.40.1.29 
FE80::5EFE:192.168.41.30 


图 7-21 在 IPv4 网 络 中 ISATAP 主机 之 间 的 通信 


。 目标 IPv4 地 址 : 192.168.41.30 

。 源 IPv4 地址 : 10.40.1.29 

。 目标 耻 v6 地 址 : FE80::SEFE:192.168.41.30 
。 源 IPv6 地 址 : FE80::5EFE:10.40.1.29 
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图 7-22 表示 两 个 ISATAP 主机 通过 Internet 进行 通信 的 例子 。 在 这 种 情况 下 , ISATAP 路 由 
器 要 公告 自己 的 地 址 前 级 ， 以 便 与 其 连接 的 ISATAP 主机 可 以 自动 配置 自己 的 站 点 本 地 地 址 。 
站 点 本 地 地 址 的 格式 前 级 为 FEC0::/48， 加 上 64 位 的 接口 标识 符 ::0:SEFE:wx.yz， 就 构成 了 了 
机 A 的 站 点 本 地 地 址 。 





出 


ISATAP ISATAP 













ISATAP 
路 由 器 A 路 由 器 B 


19440129 15745331 
FECO-1111:0:5EFE:194.40.129 FECO-1111:0:5EFE:157.45331 


图 7-22 ISATAP 主机 通过 Internet 通信 





一 般 来 说 ，ISATAP 地 址 有 64 位 的 格式 前 级 ，FEC0::/64 表示 站 点 本 地 地 址 ，FE80::/64 表 
示 链 路 本 地 地 址 。 在 格式 前 级 之 后 要 加 上 修改 的 EUI-64 地 址 (Modified EUI-64 addresses)， 其 
形式 如 下 : 

24 位 的 IANA OUI 十 40 位 的 扩展 标识 符 

如 果 40 位 扩展 标识 符 的 前 16 位 是 0xFFFE， 则 后 面 是 24 位 的 制造 商标 识 符 ， 如 图 7-23 
所 示 。 

i | 
000000ug00000000 01011110 |11111111 11111110|xxxxxxxx XxxxxxxxXXXNXAXXX 


图 7-23 40 位 扩展 标识 符 (1) 
如 果 40 位 扩展 标识 符 的 前 8 位 是 0xFE， 则 后 面 是 32 位 的 IPv4 地 址 ， 如 图 7-24 所 示 。 





4 人 Em 2 位 
+ 一 = 


图 7-24 40 位 扩展 标识 符 (2) 


OUI 表示 机 构 唯 一 标识 符 (Organizationally Unique Identifier) ，IANA 分 配 的 OUI 为 
00-00-5E, 如 图 7-24 所 示 , 其 中 的 位 表示 universallocal, u=1 表示 全 球 唯一 的 IPv4 地 址 , u=0 
表示 本 地 的 人 Pv4 地 址 ，g 位 是 individual/group 位 ，g=1 表示 单 播 地 址 ，g=0 表示 组 播 地 址 。 


7.3.2 ”协议 翻译 技术 
协议 翻译 技术 用 于 纯 IPv6 主机 与 纯 Pv4 主机 之 间 的 通信 ， 已 经 提出 的 翻译 方法 有 下 面 几 种 。 
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。 SIIT: 无 状态 的 IP/ICMP 翻译 (Stateless IP/ICMP Translation ) 。 

。 NALPT: 网 络 地 址 翻译 -协议 翻译 (Network Address Translator-Protocol Translator )。 

。 ”SOCKS64: 基于 SOCKS 的 IPv6/IPv4 机 制 (SOCKS-based IPv6/ITPv4 Gateway Mechanism ) 。 
。 TRT: IPv6 到 IPv4 的 传输 中 继 翻 译 器 (IPv6-to-IPv4 Transport Relay Translator ) 。 

这 里 只 介绍 前 两 种 方法 。 


1. SOT 


首先 介绍 两 种 特殊 的 IPv6 地 址 。 

(1) IPv4 映射 地 址 (IPv4-mapped): 一 种 内 柑 IPv4 地 址 的 IPv6 地 址 ， 可 表示 为 
0:0:0:0:0:FFFF:w.x.y.z 或 :FFFF:w.x.y.z 的 形式 ， 其 中 wx.y.z 是 IPv4 地 址 。 这 种 地 址 用 于 仅 支持 
IPv4 的 主机 。 

(2) IPv4 翻译 地 址 (IPv4-translated ): 一 种 内 肉 IPv4 地 址 的 IPv6 地 址 ， 可 表示 为 
0:0:0:0:FFFF:0:w.x.y.z 或 ::FFFF:0:w.x.y.z 的 形式 ， 其 中 wx.y.z 是 IPv4 地 址 。 这 种 地 址 可 用 于 支 
持 IPv6 的 主机 。 

RFC 2765 定义 的 SIT 类 似 于 IPv4 中 的 NAT-PT 技术 , 但 它 并 不 是 对 IPv6 主机 动态 地 分 配 
IPv4 地 址 。SIT 转换 器 规范 描述 了 从 IPv6 到 IPv4 的 协议 转换 机 制 , 包括 人 P 头 的 翻译 方法 以 及 
ICMP 报 文 的 翻译 方法 等 。 当 IPv6 主机 发 出 的 分 组 到 达 SIIT 转换 器 时 ，IPv6 分 组 头 被 翻译 为 
IPv4 分 组 头 ， 分 组 的 源 地 址 采用 IPv4 翻译 地 址 ， 目 标 地 址 采用 IPv4 映射 地 址 ， 然 后 这 个 分 组 
就 可 以 在 IPv4 网 络 中 传送 了 。 

图 7-25 表示 一 个 了 Pv6 主机 与 IPv4 主机 进行 SIIT 通信 的 例子 ， 图 中 的 SIIT 转换 器 负责 提 
供 临时 的 IPv4 地 址 ， 以 便 IPv6 主机 构建 自己 的 了 Pv4 翻译 地 址 〈 源 地 址 )， 通 信 对 方 的 目标 地 
址 则 要 使 用 IPv4 映射 地 址 ，SIIT 转换 器 看 到 这 种 类 型 的 分 组 则 要 进行 分 组 头 的 翻译 。 











图 7-25 单个 纯 IPv6 主机 通过 SIIT 进行 通信 


图 7-26 表示 双 栈 网 络 中 的 纯 人 P 主机 和 通过 SIIT 与 IPv4 主机 进行 通信 的 例子 。 双 栈 网 络 
中 既 包 含 IPv6 主机 ， 也 包含 IPv4 主机 。 在 这 种 情况 下 ，SIIT 转换 器 可 能 收 到 纯 IPv6 主机 发 出 
的 分 组 ， 也 可 能 收 到 纯 IPv4 主机 发 出 的 分 组 ，SIT 转换 器 要 适应 两 种 主机 的 需要 ， 要 保证 所 
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有 进出 双 栈 网 络 的 分 组 都 是 可 路 由 的 。 
< SS 
el 双 协 议 栈 网 络 a IPv4 网 络 en 
=IPv4translted 地 直 |  ____-_-_-_-_- i 源 地 址 -IPv4 地 址 
目标 地 址 =IPv4-mapped 地 址 目标 地 址 =IPv4 地 址 


图 7-26 双 栈 网 络 通过 SIIT 进行 通信 


RFC 2765 没有 说 明 IPv6 节点 如 何 获得 临时 的 IPv4 地 址 ， 也 没有 说 明 获 得 的 IPv4 地 址 怎 
样 注册 到 DNS 服务 器 中 。 也 许可 以 对 DHCP 协议 进行 少许 扩展 ， 用 于 提供 短期 租赁 的 临时 地 
址 。SIT 转换 器 只 是 尽 可 能 地 对 人 头 进行 翻译 ， 并 不 是 对 IPv6 头 与 IPv4 中 的 每 一 项 都 能 一 一 
对 应 地 进行 翻译 。 因 为 两 种 协议 在 有 些 方 面 差别 很 大 ， 例 如 IPv4 头 中 的 任 选项 部 分 ，IPv6 的 
路 由 头 、 逐 跳 扩 展 头 和 目标 选项 头 都 无 法 准确 地 与 另 一 个 协议 中 的 有 关机 制 进行 对 应 的 翻译 ， 
可 能 要 采用 其 他 技术 来 解决 这 些 问 题 ， 很 难 用 同一 模型 来 提供 统一 的 解决 方案 。 事 实 上 ，SIIT 
与 下 面 将 要 讲 到 的 NATPT 技术 结合 使 用 才能 提供 一 种 实用 的 解决 方案 。 


2. NAT-PT 


NAT-PT(Network Address Translator-Protocol Translator) 是 RFC 2766 定义 的 协议 翻译 方法 ， 
用 于 纯 IPv6 主 机 与 纯 IPv4 主机 之 间 的 通信 。 实 现 NATPT 技 术 必须 指定 一 个 服务 器 作为 NATPT 
网 关 ， 并 且 要 准备 一 个 IPv4 地 址 块 作为 地 址 翻译 之 用 ， 要 为 每 个 站 点 至 少 预 留 一 个 IPv4 地 址 。 

与 SIIT 不 同 ，RFC 2766 定义 的 是 有 状态 的 翻译 技术 ， 即 要 记录 和 保持 会 话 状态 ， 按 照会 
话 状 态 参 数 对 分 组 进行 翻译 ， 包 括 对 下 地 址 及 其 相关 的 字段 〈 例 如 卫 、TCP、UDP、ICMP 头 
校 验 和 等 ) 进行 翻译 。 

NAT-PT 操作 有 3 个 变种 : 基本 NAT-PT、NAPT-PT 和 双向 NAT-PT。 基 本 NAT-PT 是 单 向 
的 ， 这 意味 着 只 允许 IPv6 主机 访问 IPv4 主机 ， 如 图 7-27 所 示 。 假 设 各 个 主机 使 用 的 了 P 地 址 
如 下 : 

主机 A 的 IPv6 地 址 : FEDC:BA98::7654:3210 
E 机 B 的 IPv6 地 址 : FEDC:BA98::7654:3211 
E 机 C 的 IPv4 地 址 : 132.146.243.30 
如 果 主 机 A 要 与 主机 C 通信 ， 则 主机 A 生成 一 个 分 组 ， 源 地 址 = FEDC:BA98::7654:3210， 
目标 地 址 = 格式 前 绥 ::132.146.243.30， 这 个 地 址 是 NAT-PT 网 关 根 据 主 机 C 的 地 址 生成 的 IPv6 
地 址 。NAT-PT 网 关 对 这 个 分 组 采用 与 SIT 同样 的 方法 进行 PP 分 组 头 的 翻译 。 

如 果 发 出 的 分 组 不 是 发 起 会 话 的 分 组 ， 则 NAT-PT 网 关 应 该 已 经 存储 了 有 关 会 话 的 状态 信 
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息 ， 包 括 指定 的 IPv4 地 址 以 及 其 他 有 关 的 翻译 参数 。 如 果 这 些 状 态 不 存在 ， 则 分 组 被 丢弃 。 







NAT-PT 网 关 
IPv4 地 址 池 


图 7-27 基本 NAT-PT 


如 果 IPv6 主机 发 出 的 是 一 个 会 话 发 起 分 组 ， 则 NAT-PT 就 从 地 址 池 中 为 其 分 配 一 个 IPv4 
地 址 ， 并 把 分 组 翻译 为 IPv4 分 组 。 在 会 话 持续 期 间 ， 翻 译 参 数 被 NAT-PT 网 关 缓 存 起 来 ， 并 维 
持 IPv6 到 IPv4 的 映射 。 

NAT-PT 网 关 还 要 对 返回 的 分 组 进行 识别 , 要 判断 是 否 属于 同一 会 话 。NAT-PT 网 关 使 用 状 
态 信 息 来 翻译 分 组 ， 产 生 的 返回 分 组 源 地 址 = 格式 前 级 ::132.146.243.30， 目 标 地 址 = 
FEDC:BA98::7654:3210， 这 个 分 组 可 以 在 IPv6 子 网 中 进行 路 由 。 

第 2 个 变种 是 NAPTPT， 其 中 的 NAPT 表示 网 络 地 址 -端口 翻译 ， 仍 然 是 单 向 通信 ， 但 是 
扩展 到 了 TCP/UDP 端口 的 翻译 ， 也 包括 ICMP 询问 标识 符 的 翻译 。 这 种 技术 可 以 实现 ITPv6 主 
机 的 传输 标识 符 到 指定 IPv4 地 址 传输 标识 符 的 多 路 复 用 ， 即 让 一 组 IPv6 主机 共享 同一 IPv4 
地 址 。 

第 3 个 变种 是 双向 NAT-PT， 这 意味 着 双向 通信 ， 无 论 是 IPv6 主机 还 是 IPv4 主机 ， 都 可 
以 向 对 方 发 起 会 话 。 当 主机 C 要 发 起 对 主机 A 的 会 话 时 ， 因 为 它 不 能 直接 使 用 目标 了 Pv6 地 址 ， 
这 时 要 借助 于 DNS-ALG (Application Level Gateway) 来 获取 主机 A 的 IPv4 地 址 。 假 设 主机 A 
的 域名 为 www.A.com， 则 主机 C 首先 向 IPv4 网 络 中 的 DNS 服务 器 发 出 请 求 ， 要 求 对 域名 
www.A.com 进 行 解析 。 当 请 求 到 达 NAT-PT 网 关 后 ， 网 关 将 该 请 求 转发 给 IPv6 网 络 中 的 DNS 
服务 器 ， 这 个 过 程 包括 了 对 报 文 地 址 类 型 的 转换 。IPv6 中 的 DNS 服务 器 回应 NAT-PT 网 关 ， 
说 明 该 域名 对 应 的 IPv6 地 址 为 FEDC:BA98::7654:3210。 网 关 收 到 这 个 响应 后 在 IPv4 地 址 池 中 
选择 一 个 地 址 (例如 130.117.222.3) 来 替换 FEDC:BA98::7654:3210, 并 将 该 地 址 与 www.A.com 
的 对 应 关系 告诉 主机 C。 于 是 ， 主 机 C 知道 了 www.A.com 对 应 的 IPv4 地 址 ， 就 可 以 向 主机 A 
发 送 分 组 了 。 

协议 翻译 技术 适用 于 IPv6 孤岛 与 Pv4 海洋 之 间 的 通信 ， 这 种 技术 要 求 一 次 会 话 中 的 双向 
数据 包 都 在 同一 个 路 由 器 上 完成 转换 ， 所 以 它 只 能 适用 于 同一 路 由 器 连接 的 网 络 。 这 种 技术 的 
优点 是 不 需要 进行 Pv4 和 了 Pv6 终端 的 升级 改造 ， 只 要 求 在 IPv4 和 IPv6 之 间 的 网 络 转换 设备 
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上 启用 NAT-PT 功能 就 可 以 了 。 但 是 在 实现 这 种 技术 时 ， 一 些 协议 字段 在 转换 时 仍 不 能 完全 保 
持原 有 的 含义 ， 并 且 缺 乏 端 到 端的 安全 性 。 


7.3.3 ” 双 协 议 栈 技术 


双 栈 技术 适用 于 同时 实现 了 了 Pv6 和 IPv4 两 个 协议 栈 的 主机 之 间 进 行 通 信 。 在 这 种 情况 下 ， 
当主 机 发 起 通信 时 ，DNS 服务 器 将 同时 提供 IPv6 和 IPv4 两 种 地 址 ， 主 机 将 根据 具体 情况 使 用 
适当 的 协议 来 建立 通信 。 在 服务 器 一 边 要 同时 监听 IPv4 和 IPv6 两 种 端口 。 这 种 技术 要 求 每 个 
主机 要 有 一 个 IPv4 地 址 ，IPv4 主机 使 用 了 Pv6 应 用 不 存在 任何 问题 。 

双 栈 主机 有 下 面 两 种 方法 : 

。 ”RFC 2767(2000) 定 义 的 BIS (Bump-In-the-Stack) 

。 ”RFC 3338(2002) 定 义 的 BIA (Bump-In-the-API) 


1. BIS 


在 IPv4 向 IPv6 过 渡 的 初始 阶段 ， 网 络 中 只 有 很 少 的 IPv6 应 用 。BIS 是 应 用 于 了 人 P 安全 域 
内 的 一 种 机 制 ， 适 用 于 在 开始 过 渡 阶 段 利用 现 有 的 IPv4 应 用 进行 IPv6 通信 。 

这 种 技术 是 在 主机 的 TCP/IPv4 模块 与 网 卡 驱动 模块 之 间 插 入 一 些 模块 来 实现 IPv4 与 IPv6 
分 组 之 间 的 转换 ， 使 得 主机 成 为 一 个 协议 转换 器 。 从 外 界 看 来 ， 这 样 的 主机 就 像 是 同时 实现 了 
IPv6 和 IPv4 两 个 协议 栈 的 主机 一 样 ， 既 可 以 与 其 他 的 IPv4 主机 通信 ,也 可 以 与 其 他 的 IPv6 主 
机 通信 ， 但 这 些 通信 都 是 基于 现 有 的 IPv4 应 用 进行 的 。 

BIS 用 3 个 模块 来 代替 IPv6 应 用 ， 这 些 模块 是 转换 器 、 扩 展 名 解析 器 和 地 址 映射 器 ， 如 图 
7-28 所 示 。 对 3 个 模块 的 作用 介绍 如 下 : 
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图 7-28 ” 双 协 议 栈 主机 的 结构 
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转换 器 的 作用 是 在 IPv4 地 址 与 IPv6 地 址 之 间 进 行 转换 ， 转 换 的 机 制 与 SIIT 定义 的 一 样 。 
当 从 IPv4 应 用 接收 到 一 个 耻 v4 分 组 时 ， 转 换 器 把 IPv4 头 转换 为 IPv6 头 ， 然 后 对 IPv6 分 组 进 
行 分 段 〈 因 为 IPv6 头 比 IPv4 头 长 20 个 字 节 )， 并 发 送 到 IPv6 网 络 中 去 。 当 接收 到 一 个 PPv6 
分 组 时 ， 转 换 器 进行 相反 的 转换 ， 但 是 不 需要 对 生成 的 IPv4 分 组 进行 分 段 。 

扩展 名 解析 器 对 IPv4 应 用 发 出 的 请 求 返回 一 个 “适当 的 ”答案 。 应 用 通常 向 名 字 服 务 器 
发 送 请 求 , 要 求解 析 目 标 主机 名 的 A 记录 。 扩 展 名 解析 器 根据 这 个 请 求生 成 另外 一 个 查询 请 求 ， 
发 往 名 字 服 务 器 ， 要 求解 析 主 机 名 的 A 记录 和 AAAA 记录 。 如 果 A 记录 被 解析 ， 它 向 应 用 返 
回 A 记录 ， 这 时 不 需要 进行 地 址 转换 。 如 果 只 有 AAAA 记录 被 解析 ， 则 它 向 地 址 映射 器 发 出 
请 求 ， 要 求 为 Pv6 地 址 指定 一 个 对 应 的 IPv4 地 址 ， 然 后 对 指定 的 IPv4 地 址 生成 一 个 A 记录 ， 
并 将 其 返回 给 应 用 。 

地 址 映射 器 维护 一 个 Pv4 地 址 池 , 同时 维护 一 个 由 卫 v4 地 址 与 了 Pv6 地 址 对 组 成 的 表 。 当 
解析 器 或 转换 器 要 求 为 一 个 Pv6 地 址 指定 一 个 了 Pv4 地 址 时 , 它 从 地 址 池 中 选择 一 个 IPv4 地 址 ， 
并 动态 地 注册 一 个 新 的 表 项 。 当 出 现下 面 两 种 情况 时 会 启动 注册 过 程 : 

(1) 解析 器 只 得 到 目标 主机 名 的 AAAA 记录 ， 并 且 表 中 不 存在 IPv6 地 址 的 映射 表 项 。 

(2) 转换 器 接收 到 IPv6 分 组 ， 并 且 表 中 不 存在 IPv6 地 址 的 映射 表 项 。 

在 映射 表 初 始 化 时 ， 地 址 映射 器 注册 它 自 己 的 一 对 IPv4 地 址 与 IPv6 地 址 。 


2. BIA 


BIA 是 在 IPv4 Socket 应 用 与 Pv6 Socket 应 用 之 间 进 行 翻译 的 技术 。BIA 要 求 在 Socket 应 
用 模块 与 TCP/IP 模块 之 间 插 入 API 转换 器 ,这样 建 立 的 双 栈 主机 不 需要 在 卫 头 之 间 进 行 翻译 ， 
使 得 转换 过 程 得 到 简化 。 

当 双 栈 主机 中 的 IPv4 应 用 要 与 另外 一 个 IPv6 主机 进行 通信 时 ，API 转换 器 检测 到 IPv4 应 
用 中 的 Socket API 功能 ， 于 是 就 启动 IPv6 Socket API 功能 与 目标 IPv6 主机 进行 通信 。 相 反 的 
通信 过 程 是 类 似 的 。 为 了 支持 IPv4 应 用 与 目标 IPv6 主机 进行 通信 ，API 转换 器 中 的 名 字 解 析 
器 将 从 缓存 中 选择 一 个 IPv4 地 址 并 赋予 目标 IPv6 主机 。 图 7-29 表示 安装 BIA 的 双 栈 主机 的 体 
系 结构 。 

在 图 7-29 中 的 API 转换 器 由 3 个 模块 组 成 。 功 能 映射 器 的 作用 是 在 IPv4 Socket API 功能 
与 IPv6 Socket API 功能 之 间 进 行 转换 。 当 检测 到 来 自 了 Pv4 应 用 的 IPv6 Socket API 功能 时 ， 它 
就 解释 这 个 功能 调用 ， 启 动 新 的 IPv6 Socket API 功能 ， 并 以 此 来 与 目标 IPv6 主机 进行 通信 。 
当 从 IJPv6 主机 接收 的 数据 中 检测 到 IPv6 Socket API 功能 时 做 相反 的 解释 和 转换 。 

名 字 解 析 器 的 作用 是 在 收 到 IPv4 应 用 请 求 时 给 出 适当 的 响应 。 当 IPv4 应 用 试图 通过 解析 
器 来 进行 名 字 解 析 时 ，BIA 就 截取 这 个 功能 调用 ,转向 调用 卫 v6 的 等 价 功能 ， 以 便 解 析 目 标 主 
机 的 A 记录 或 AAAA 记录 。 
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图 7-29 BIA 双 协 议 栈 主机 的 体系 结构 




















地 址 映射 器 与 BIS 中 的 地 址 映射 器 相同 。 
7.4 下 一 代 互 联网 的 发 展 


下 一 代 互联 网 协议 IPv6 最 主要 的 特征 是 采用 128 位 的 地 址 空间 替代 IPv4 的 32 位 地 址 空间 ， 
提高 了 互联 网 的 地 址 容量 。 另外 , IPv6 在 安全 性 、 服 务 质 量 、 移 动 性 等 方面 都 具有 更 好 的 特性 ， 
采用 IPv6 的 下 一 代 互 联网 比 现在 的 互联 网 更 具有 扩展 性 ， 更 加 安全 ， 也 更 容易 提供 新 的 服务 。 
IPv6 也 是 三 网 融合 的 纽带 ， 建 设 基 于 IPv6 的 下 一 代 网 络 (NGN) 是 通信 产业 发 展 的 战略 方向 。 

推动 下 一 代 互联 网 研究 的 主要 因素 有 3 个 : 一 是 大 幅度 地 增加 人 P 地 址 供给 ， 二 是 开发 新 
的 网 络 应 用 ， 三 是 抢占 IT 产业 竞争 优势 。IP 地 址 资源 分 配 极为 不 公 ， 对 本 来 就 很 缺少 的 IPv4 
地 址 造成 了 很 大 的 浪费 , 亚太 地 区 和 欧洲 地 区 日 益 感到 下 地 址 短缺 的 压力 , 迫切 需要 增加 地 址 
资源 的 供给 。 另 一 方面 ， 随 着 电子 和 通信 产业 的 发 展 ， 新 的 智能 设备 和 移动 通信 终端 都 需要 联 
网 运行 ， 需 要 建立 新 的 网 络 服务 ， 而 Pv4 在 体系 结构 方面 的 先天 缺陷 影响 了 对 新 业务 的 支持 ， 
在 此 基础 上 修 修补 补 的 改进 使 得 网 络 设备 的 功能 差别 很 大 ， 网 络 的 可 扩展 性 和 可 伸缩 性 都 受到 
了 很 大 限制 。 最 后 ， 如 果 说 过 去 20 年 来 全 球 发 展 的 技术 引擎 是 互联 网 技术 的 突破 ， 那 么 开发 
下 一 代 互 联网 新 技术 就 是 攀登 未 来 信息 社会 的 制高点 ， 谁 抢占 了 这 一 制高点 ， 谁 就 能 在 未 来 的 
经 济 发 展 中 占据 主动 权 ， 亡 以 各 个 国家 都 不 遗 余力 地 投入 了 这 一 场 技术 竞赛 。 

通过 各 国 十 几 年 的 研发 和 试验 ， 目 前 的 IPv6 技术 标准 已 相对 成 熟 ， 多 个 国家 已 经 组 建 了 
规模 不 等 的 IPv6 试验 网 , 支持 IPv6 的 联网 设备 基本 成 熟 , 开发 新 的 IPv6 业务 也 取 了 一 些 进展 。 
从 全 球 IPv6 网 络 的 发 展 情况 来 看 ， 亚 太 地 区 和 欧洲 地 区 应 用 较 多 ， 日 本 、 韩 国 和 欧盟 在 IPv6 
产品 研发 和 产业 化 方面 走 在 了 前 面 ， 而 美国 相对 滞后 。 中 国 在 IPv6 领域 略 有 建树 ， 但 在 国家 战 
略 、 产 业 化 和 新 技术 研发 等 方面 与 日 韩 、 欧 盟 还 存在 不 小 的 差距 。 
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7.4.1 IP 地 址 的 分 配 


全 地 址 和 AS 号 码 的 分 配 主要 由 美国 掌控 。 在 互联 网 出 现 的 早期 ， 美 国 一 些 大 学 和 公司 占 
用 了 大 量 的 PPv4 地 址 ， 例 如 MIT、IBM 和 AT&T 分 别 占 用 了 大 约 1600 万 、1700 万 和 1900 万 
个 中 地 址 。 现在 中 国 获得 的 下 地 址 只 相当 于 美国 两 三 个 大 学 的 下 地址。 这 样 就 导致 了 一 方面 
大 量 的 正 地 址 被 浪费 ， 另 一 方面 美国 以 外 的 国家 和 地 区 深 感 他 地 址 紧缺 的 压力 。 

ICANN(The Internet Corporation for Assigned Names and Numbers ) 是 负责 互联 网 国际 域名 、 
地 址 和 号 码 管理 的 非 营 利 性 机 构 。ICANN 将 部 分 瑟 地 址 和 AS 号 码 分 配给 地 区 级 的 互联 网 注 
册 机 构 RIR (Regional Internet Registry)，RIR 再 将 地 址 分 配给 区 域内 的 本 地 互联 网 注册 机 构 
(Local Internet Registries，LIR) 和 互联 网 服务 提供 商 〈ISP)， 然 后 由 他 们 向 用 户 分 配 。 

图 7-30 是 现 有 的 5 个 RIR 管理 地 区 的 分 布 图 .APNIC(Asia and Pacific Network Information 
Center) 是 亚太 地 区 互联 网 络 信息 中 心 ，ARIN (American Registry for Intemet Numbers) 是 美国 
网 络 地 址 注册 管理 组 织 ， 负 责 北美 地 区 的 瑟 地 址 和 AS 号码 的 分 配 。LACNIC (Latin American 
and Caribbean Network Information Center) 是 拉丁 美洲 及 加 勒 比 地 区 的 互联 网 络 信息 中 心 。RIPE 
NCC (Réseaux IP Européens Network Coordination Centre) 负责 欧洲 地 区 他 地址 和 AS 号 码 的 
管理 。AfriNIC 是 非洲 的 网 络 信息 中 心 ，2005 年 4 月 才 从 RIPE NCC 分 离 出 来 。 
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图 7-30 卫 地 址 地 区 注册 结构 


图 7-31 是 各 个 RIR 分 得 的 IPv4 地 址 的 比例 ,数据 来 源 于 号 码 资源 组 织 (Number Resource 
Organization，NRO) 于 2009 年 3 月 的 报告 (http://www.nro.org/statistics/index.html)。ICANN 
以 地 址 块 256/8 来 分 配 IPv4 地 址 ，5 个 RIR 已 经 获得 的 地 址 块 总 共 98 个 ， 其 他 地 址 块 或 者 是 
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IANA 保留 的 , 或 者 是 专门 用 途 的 〈 例 如 用 作 组 播 、 实 验 等 ), 还 有 一 些 是 美国 自己 使 用 的 。2008 
年 专家 预计 IPv4 地 址 资源 耗 尽 如 图 7-32 所 示 。 


IPv4 ADDRESS SPACE ISSUED 
(RIRs TO CUSTOMERS) 
In terms of /8s, how much total space has each RIR allocated? 
(Jon 1999 — Moar 2009) 





RIPE NCC 
22.76 


APNIC 25.54 
AfriNIC 0.88 
LACNIC 3.53 


ARIN 21.33 


图 7-31 RIR 获得 的 IPv4 地 址 的 比例 


IPv4 Address Pool 


IANA Policy » RIRs Allocated Pool for 12.24 Months Distribution 
Projections based on Jan 2000 to current 























图 7-32 ”IPv4 地 址 资源 消耗 的 预测 


应 对 IPv4 地 址 的 耗 尽 已 成 为 全 球 性 的 战略 问题 ， 目 前 许多 国家 都 鼓励 在 IPv6 网 络 上 进行 
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地 址 注册 。2006 年 ，IANA 已 经 为 五 大 洲 的 RIR 分 配 了 全 球 单 播 地 址 格式 前 级 ， 如 图 7-33 所 
示 。 图 7-34 表示 各 个 RIR 已 经 获得 的 IPv6 地 址 资源 ， 从 卫 v6 地 址 的 分 配 情 况 可 以 看 出 下 一 代 
互联 网 在 各 个 地 区 的 发 展 程度 。 
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图 7-33 ”IPv6 地 址 分 配 状态 
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RIPE NCC 1,199 RIPE NCC 33,235 
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LACNIC 163 /32s LACNIC 175 
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图 7-34 各 个 RIR 已 经 分 配 的 IPv6 地 址 


7.4.2 ”我 国 的 下 一 代 互 联网 研究 

中 国 下 一 代 互 联网 示范 工程 (CNGI) 项 目 是 于 2003 年 酝酿 并 启动 的 。 截 至 目前 ，CNGI 
已 经 建成 了 由 6 个 主干 网 、 两 个 国际 交换 中 心 及 相应 的 传输 链 路 组 成 的 核心 网 络 。CERNET2、 
中 国电 信 、 中 国 网 通 / 中 科 院 、 中 国 移动 、 中国 联通 和 中 国 铁通 这 6 个 主干 网 以 及 国际 交换 中 心 
已 全 部 完成 验收 。 


1. CERNET2 























CERNET2 (图 7-35) 是 CNGI 中 规模 最 大 的 主干 网 ， 也 是 目前 世界 上 规模 最 大 的 采用 纯 
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IPv6 技术 的 下 一 代 互 联网 。 它 以 2.5G 一 10G 速率 连接 全 国 20 个 城市 的 25 个 主干 网 核心 节点 ， 

为 全 国 高 校 和 科研 单位 提供 高 速 IPv6 接 入 服务 ,在 此 基础 上 实现 了 全 国 160 所 大 学 的 高 速 接 入 ， 

已 经 有 40 余 项 下 一 代 互 联网 技术 试验 、 应 用 示范 和 产业 化 项 目 连接 到 CERNET2 主干 网 上 进行 

项 目 研究 和 成 果 测 试 。 该 项 目 还 建成 了 CNGI 国际 /国内 互联 中 心 , 实现 了 6 个 CNGI 主干 网 的 

互联 ， 并 与 北美 、 欧 洲 、 亚 太 等 地 区 的 国际 下 一 代 互 联网 实现 了 高 速 互联 ， 使 CNGI 成 为 国际 
一 代 互 联网 的 重要 组 成 部 分 。 








中 国教 育 和 科研 计算 机 网 
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图 7-35 CERNET2 示意 图 


2. GLORIAD 








2002 年 2 月, 美国 国家 科学 基金 会 资助 的 美 俄 科教 网 络 (NaukaNet) 项 目 提出 与 中 国 建立 
战略 伙伴 关系 ， 并 在 北半球 建立 环形 科教 网 络 的 设想 。2004 年 1 月 12 日 ， 中 美 俄 环球 科教 网 
络 (GLORIAD) 正式 开通 。 

GLORIAD 是 在 美 、 俄 之 间 5 年 期 科学 网 项 目的 基础 上 增加 中 美和 中 俄 的 连接 而 建成 的 闭 
环 网 络 ， 以 支持 科研 、 教 育 方面 的 国际 合作 。 这 条 新 的 连接 使 美国 的 科研 机 构 能 够 通过 中 国 科 
学 院 院 网 与 俄罗斯 远东 地 区 的 科学 团体 进行 交流 。GLORIAD 计划 包括 下 面 4 个 方面 的 内 容 : 

(1) 网 络 传输 基础 设施 的 研究 和 建设 。 利 用 先进 的 光 传输 /交换 技术 ， 建 设 一 个 横 跨 中 国 、 
美国 、 俄 罗斯 以 及 太平 洋 和 大 西洋 的 环形 光 网 络 ， 设计 传输 速率 为 10Gbps。 相 应 的 光 交 换 节点 
分 别 设 在 芝加哥 、 阿 姆 斯 特 丹 、 莫 斯 科 、 新 西伯 利 亚 、 北 京 和 香港 。 该 环形 网 络 的 拓扑 结构 充 





























图 7-36 GLORIAD 


(2) 网 络 重要 支撑 技术 的 研究 、 运 行 和 试验 。 为 了 更 好 地 适应 先进 科学 应 用 的 需要 ， 提 供 
更 高 的 性 能 ,在 网 络 层 将 采用 IPv6 协议 实现 互 连 , 提供 端 到 端的 资源 分 配 和 调度 能 力 ,提供 能 
够 自动 更 新 网 络 设备 的 软件 系统 ,通过 在 核心 网 络 使 用 MPLS 等 技术 提供 改进 的 网 络 服务 质量 ， 
同时 要 研发 各 种 网 络 监控 和 管理 工具 ， 以 最 大 限度 地 满足 网 络 管理 和 终端 用 户 的 需求 。 

(3) 网 络 应 用 服务 软件 和 中 间 件 的 研究 、 运 行 和 试验 。 通 过 采用 基于 网 格 的 软件 技术 实现 
网 络 资源 、 数 据 资源 、 计 算 资源 、 科 学 仪器 资源 和 用 户 团体 资源 的 整合 和 协同 工作 。 

(4) 建立 强大 的 科学 教育 应 用 联盟 。GLORIAD 计划 主要 面向 科学 家 、 教 育 工作 者 、 政 策 
制定 者 、 公 共 组 织 等 ， 确 定 这 些 团体 的 应 用 需求 ， 然 后 使 他 们 逐步 了 解 这 个 网 络 潜在 的 服务 和 
功能 ， 最 后 给 这 些 团体 提供 更 多 的 机 会 进行 协作 与 资源 共享 。 






so 


因特网 的 迅速 发 展 给 社会 生活 带 来 了 前 所 未 有 的 便利 , 这 主要 得 益 于 因特网 的 开放 性 和 匿 
名 性 特征 。 然 而 ， 正 是 这 些 特征 决定 了 因特网 不 可 避免 地 存在 着 信息 安全 隐患 。 本 章 介绍 网 络 
安全 方面 存在 的 问题 及 其 解决 办 法 ， 即 网 络 通信 中 的 数据 保密 技术 、 签 名 与 认证 技术 ， 以 及 有 
关 网 络 安全 威胁 的 理论 和 解决 方案 。 


8.1 网 络 安全 的 基本 概念 


8.1.1 网 络 安全 威胁 的 类 型 


网 络 威胁 是 对 网 络 安全 缺陷 的 潜在 利用 ， 这 些 缺陷 可 能 导致 非 授 权 访 问 、 信 息 汇 露 、 资 源 
耗 尽 、 资 源 被 次 或 者 被 破坏 等 。 网 络 安全 所 面临 的 威胁 可 以 来 自 很 多 方面 ， 并 且 随 着 时 间 的 变 
化 而 变化 。 网 络 安全 威胁 有 以 下 几 类 。 

(1) 窃听 。 在 广播 式 网 络 系统 中 ， 每 个 节点 都 可 以 读 取 网 上 传输 的 数据 ， 例 如 搭 线 窃听 、 
安装 通信 监视 器 和 读 取 网 上 的 信息 等 。 网 络 体系 结构 允许 监视 器 接收 网 上 传输 的 所 有 数据 帧 而 
不 考虑 帧 的 传输 目标 地 址 ， 这 种 特性 使 得 偷 听 网 上 的 数据 或 非 授 权 访 问 很 容易 而 且 不 易 发 现 。 

(2) 假冒 。 当 一 个 实体 假扮 成 另 一 个 实体 进行 网 络 活动 时 就 发 生 了 假冒 。 

(3) 重 放 。 重 复 一 份 报 文 或 报 文 的 一 部 分 ， 以 便 产 生 一 个 被 授权 效果 。 

(4) 流量 分 析 。 通 过 对 网 上 信息 流 的 观察 和 分 析 推断 出 网 上 传输 的 有 用 信息 ， 例 如 有 无 传 
输 ， 传 输 的 数量 、 方 向 和 频率 等 。 由 于 报头 信息 不 能 加 密 ， 所 以 即使 对 数据 进行 了 加 密 处 理 ， 
也 可 以 进行 有 效 的 流量 分 析 。 

(5) 数据 完整 性 破坏 。 有 意 或 无 意 地 修改 或 破坏 信息 系统 ， 或 者 在 非 授权 和 不 能 监测 的 方 
式 下 对 数据 进行 修改 。 

(6) 拒绝 服务 。 当 一 个 授权 实体 不 能 获得 应 有 的 对 网 络 资源 的 访问 或 紧急 操作 被 延迟 时 ， 
就 发 生 了 拒绝 服务 。 

(7) 资源 的 非 授权 使 用 。 即 与 所 定义 的 安全 策略 不 一 致 的 使 用 。 

(8) 陷 门 和 特洛伊 木马 。 通 过 替换 系统 合法 程序 ， 或 者 在 合法 程序 里 插入 恶意 代码 ， 以 实 
现 非 授权 进程 ， 从 而 达到 某 种 特定 的 目的 。 

(9) 病毒 。 随 着 人 们 对 计算 机 系统 和 网 络 依赖 程度 的 增加 ， 计 算 机 病毒 已 经 构成 了 对 计算 


第 8 章 网 络 安全 。 S305 


机 系统 和 网 络 的 严重 威胁 。 
(10) 诽谤 。 利 用 计算 机 信息 系统 的 广泛 互 连 性 和 匿名 性 散布 错误 的 消息 ， 以 达到 诉 毁 某 
个 对 象 的 形象 和 知名 度 的 目的 。 


8.1.2 ”网 络 安全 漏洞 


通常 ， 入 侵 者 寻找 网 络 存在 的 安全 弱点 ， 从 缺口 处 无 声 无 息 地 进入 网 络 。 因 而 开发 黑客 反 
击 武器 的 思想 是 找 出 现行 网 络 中 的 安全 弱点 ， 演 示 、 测 试 这 些 安全 漏洞 ， 然 后 指出 应 如 何 堵 住 
安全 漏洞 。 当 前 ， 信 息 系统 的 安全 性 非常 弱 ， 主 要 体现 在 操作 系统 、 计 算 机 网 络 和 数据 库 管理 
系统 都 存在 安全 隐患 ， 这 些 安全 隐患 表现 在 以 下 方面 。 

(1) 物理 安全 性 。 凡 是 能 够 让 非 授权 机 器 物理 接 入 的 地 方 都 会 存在 潜在 的 安全 问题 ， 也 就 
是 能 让 接 入 用 户 做 本 不 允许 做 的 事情 。 

(2) 软件 安全 漏洞 。“ 特 权 ” 软 件 中 带 有 恶意 的 程序 代码 ， 从 而 可 以 导致 其 获得 额外 的 权限 。 

(3) 不 兼容 使 用 安全 漏洞 。 当 系统 管理 员 把 软件 和 硬件 捆绑 在 一 起 时 ， 从 安全 的 角度 来 看 ， 
可 以 认为 系统 将 有 可 能 产生 严重 安全 隐患 。 所 谓 的 不 兼容 性 问题 ， 即 把 两 个 毫 无 关系 但 有 用 的 
事物 连接 在 一 起 ， 从 而 导致 了 安全 漏洞 。 一 旦 系统 建立 和 运行 ， 这 种 问题 很 难 被 发 现 。 

(4) 选择 合适 的 安全 哲理 。 这 是 一 种 对 安全 概念 的 理解 和 直觉 。 完 美的 软件 ， 受 保护 的 硬 
件 和 兼容 部 件 并 不 能 保证 正常 而 有 效 地 工作 ， 除 非 用 户 选择 了 适当 的 安全 策略 和 打开 了 能 增加 
其 系统 安全 的 部 件 。 


8.1.3 ”网络 攻 击 


攻击 是 指 任何 的 非 授权 行为 。 攻 击 的 范围 从 简单 的 使 服务 器 无 法 提供 正常 的 服务 到 完全 破 
坏 、 控 制服 务 器 。 在 网 络 上 成 功 实施 的 攻击 级 别 依赖 于 用 户 采 取 的 安全 措施 。 

攻击 的 法 律 定 义 是 “攻击 仅仅 发 生 在 入 侵 行 为 完全 完成 而 且 入 侵 者 已 经 在 目标 网 络 内 ”。 
专家 的 观点 则 是 “可 能 使 一 个 网 络 受到 破坏 的 所 有 行为 都 被 认定 为 攻击 ”。 

网 络 攻击 可 以 分 为 以 下 几 类 。 

(1) 被 动 攻击 。 攻击 者 通过 监视 所 有 信息 流 以 获得 某 些 秘密 。 这 种 攻击 可 以 是 基于 网 络 ( 跟 
踪 通 信和 链 路 ) 或 基于 系统 〈 用 秘密 抓 取 数据 的 特洛伊 木马 代替 系统 部 件 ) 的 。 被 动 攻击 是 最 难 
被 检测 到 的 ， 故 对 付 这 种 攻击 的 重点 是 预防 ， 主 要 手段 有 数据 加 密 等 。 

(2) 主动 攻击 。 攻 击 者 试图 突破 网 络 的 安全 防线 。 这 种 攻击 涉及 数据 流 的 修改 或 创建 错误 
流 ， 主 要 攻击 形式 有 假冒 、 重 放 、 欺 骗 、 消 息 纂 改 和 拒绝 服务 等 。 这 种 攻击 无 法 预防 但 却 易于 
检测 ， 故 对 付 的 重点 是 测 而 不 是 防 ， 主 要 手段 有 防火 墙 、 入 侵 检测 技术 等 。 

(3) 物理 临近 攻击 。 在 物理 临近 攻击 中 未 授权 者 可 物理 上 接近 网 络 、 系 统 或 设备 ， 目 的 是 
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修改 、 收 集 或 拒绝 访问 信息 。 

(4) 内 部 人 员 攻 击 。 内 部 人 员 攻 击 由 这 些 人 实施 ， 他 们 要 么 被 授权 在 信息 安全 处 理 系 统 的 
物理 范围 内 ， 要 么 对 信息 安全 处 理 系统 具有 直接 访问 权 。 有 恶意 的 和 非 恶 意 的 〈 不 小 心 或 无 知 
的 用 户 ) 两 种 内 部 人 员 攻 击 。 

(5) 分 发 攻击 。 分 发 攻击 是 指 在 软件 和 硬件 开发 出 来 之 后 和 安装 之 前 这 段 时 间 ， 或 当 它 从 
一 个 地 方 传 到 另 一 个 地 方 时 ， 攻 击 者 恶意 修改 软 /硬件 。 


8.1.4 安全 措施 的 目标 


安全 措施 的 目标 如 下 。 

(1) 访问 控制 。 确 保 会 话 对 方 ( 人 或 计算 机 ) 有 权 做 它 所 声称 的 事情 。 

(2) 认证 。 确 保 会 话 对 方 的 资源 (人 或 计算 机 与 它 声 称 的 相 一 致 。 

(3) 完整 性 。 确 保 接收 到 的 信息 与 发 送 的 一 致 。 

(4) 审计 。 确 保 任何 发 生 的 交易 在 事后 可 以 被 证 实 ， 发 信者 和 收 信者 都 认为 交换 发 生 过 ， 
即 所 谓 的 不 可 抵赖 性 。 

(5) 保密 。 确 保 敏感 信息 不 被 窍 听 。 

因特网 安全 话题 分 散 而 复杂 。 因 特 网 的 不 安全 因素 一 方面 来 自 于 其 内 在 的 特性 一 一 先天 不 
足 。 因 特 网 连接 着 成 千 上 万 的 区 域 网 络 和 商业 服务 供应 商 的 网 络 。 网 络 规模 越 大 ， 通 信 链 路 越 
长 ， 则 网 络 的 脆弱 性 和 安全 问题 也 随 之 增加 。 而 且 因特网 在 设计 之 初 是 以 提供 广泛 的 互 连 、 互 
操作 、 信 息 资源 共享 为 目的 的 ， 因 此 其 侧重 点 并 不 在 安全 上 。 这 在 当初 把 因特网 作为 科学 研究 
用 途 时 是 可 行 的 ， 但 是 在 当今 电子 商务 炙手可热 之 时 ， 网 络 安全 问题 已 经 成 为 了 一 种 阻碍。 另 
一 方面 是 缺乏 系统 的 安全 标准 。 众 所 周知 ， 因 特 网 工程 任务 组 (IETF) 负责 开发 和 发 布 因特网 
使 用 标准 ， 而 不 是 遵循 IETF 的 标准 化 进程 ， 这 使 得 正 TF 的 地 位 变 得 越 来 越 模糊 不 清 。 


8.1.5 ”基本 安全 技术 


任何 形式 的 网 络 服务 都 会 导致 安全 方面 的 风险 ， 问 题 是 如 何 将 风险 降低 到 最 低 程度 ， 目 前 
的 网 络 安全 措施 有 数据 加 密 、 数 字 签名 、 身 份 认证 、 防 火 墙 和 入 侵 检 测 等 。 

(1) 数据 加 密 。 数 据 加 密 是 通过 对 信息 的 重新 组 合 ， 使 得 只 有 收发 双方 才能 解码 并 还 原 信 
息 的 一 种 手段 。 随 着 相关 技术 的 发 展 ， 加 密 正 逐 步 被 集成 到 系统 和 网 络 中 。 在 硬件 方面 ， 已 经 
在 研制 用 于 PC 和 服务 器 主板 的 加 密 协 处 理 器 。 

(2) 数字 签名 。 数 字 签 名 可 以 用 来 证 明 消 息 确实 是 由 发 送 者 签发 的 ， 而 且 ， 当 数字 签名 用 
于 存储 的 数据 或 程序 时 ， 可 以 用 来 验证 数据 或 程序 的 完整 性 。 

(3) 身份 认证 。 有 多 种 方法 来 认证 一 个 用 户 的 合法 性 ， 例 如 密码 技术 、 利 用 人 体 生 理 特征 
〈 如 指纹 ) 进行 识别 、 智 能 IC 卡 和 USB 盘 等 。 
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(4) 防火 墙 。 防 火 墙 是 位 于 两 个 网 络 之 间 的 屏障 ， 一 边 是 内 部 网 络 〈 可 信赖 的 网 络 )， 另 
一 边 是 外 部 网 络 〈 不 可 信赖 的 网 络 )。 按 照 系统 管理 员 预 先 定义 好 的 规则 控制 数据 包 的 进出 。 
(5) 内 容 检查 。 即 使 有 了 防火 墙 、 身 份 认证 和 加 密 ， 人 们 仍 担心 遭 到 病毒 的 攻击 。 


8.2 ”信息 加 密 技术 


信息 安全 技术 是 一 门 综合 的 学 科 ， 它 涉及 信息 论 、 计 算 机 科学 和 密码 学 等 多 方面 知识 ， 主 
要 任务 是 研究 计算 机 系统 和 通信 网 络 内 信息 的 保护 方法 ， 以 实现 系统 内 信息 的 安全 、 保 密 、 真 
实 和 完整 。 其 中 ， 信 息 安 全 的 核心 是 密码 技术 。 

传统 的 加 密 系 统 是 以 密 钥 为 基础 的 ， 这 是 一 种 对 称 加 密 ， 也 就 是 说 ， 用 户 使 用 同一 个 密 钥 
加 密 和 解密 。 而 公 钥 则 是 一 种 非 对 称 加 密 方法 ， 加 密 者 和 解密 者 各 自 拥有 不 同 的 密 钥 。 当 然 ， 
还 有 其 他 的 诸如 流 密码 等 加 密 算法 。 
8.2.1 数据 加 密 原 理 


数据 加 密 是 防止 未 经 授权 的 用 户 访问 敏感 信息 的 手段 ， 这 就 是 人 们 通常 理解 的 安全 措施 ， 
也 是 其 他 安全 方法 的 基础 。 研 究 数据 加 密 的 科学 叫 作 密 码 学 (Cryptography)， 它 又 分 为 设计 密 
码 体制 的 密码 编码 学 和 破译 密码 的 密码 分 析 学 。 密 码 学 有 着 悠久 而 光辉 的 历史 ， 古 代 的 军事 家 
已经 用 密码 传递 军事 情报 了 ， 而 现代 计算 机 的 应 用 和 计算 机 科学 的 发 展 又 为 这 一 古老 的 科学 注 
入 了 新 的 活力 。 现 代 密 码 学 是 经 典 密码 学 的 进一步 发 展 和 完善 。 由 于 加 密 和 解密 此 消 彼 长 的 斗 
争 永远 不 会 停止 ， 这 门 科学 还 在 迅速 发 展 之 中 。 

一 般 的 保密 通信 模型 如 图 8-1 所 示 。 


























发 送 端 偷 听 者 接收 端 
明文 P 加 密 算法 E 解密 算法 D 明文 P 
密 文 C=E(K,P) t 
密 钥 K 密 钥 K 


图 8-1 保密 通信 模型 

在 发 送 端 ， 把 明文 了 用 加 密 算 法 EE 和 密 钥 KK 加密， 变换 成 密 文 C， 即 

C=E(K, P) 
在 接收 端 利 用 解密 算法 D 和 密 钥 K 对 C 解密 得 到 明文 P， 即 

P=DEK,O) 
这 里 加 /解密 函数 E 和 D 是 公开 的 ， 而 密 钥 K〈 加 解密 函数 的 参数 〉 是 秘密 的 。 在 传送 过 

程 中 , 偷 听 者 得 到 的 是 无 法 理解 的 密 文 , 而 且 他 得 不 到 密 钥 , 这 就 达到 了 对 第 三 者 保密 的 目的 。 

不 论 偷 听 者 获取 了 多 少 密 文 ， 如 果 密 文中 没有 足够 的 信息 可 以 确定 出 对 应 的 明文 ， 则 这 种 
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密码 体制 是 无 条 件 安全 的 ， 或 称 为 是 理论 上 不 可 破解 的 。 在 无 任何 限制 的 条 件 下 ， 目 前 几乎 所 
有 的 密码 体制 都 不 是 理论 上 不 可 破解 的 。 能 否 破解 给 定 的 密码 ， 取 决 于 使 用 的 计算 资源 。 所 以 
密码 专家 们 研究 的 核心 问题 就 是 要 设计 出 在 给 定 计算 费 用 的 条 件 下 ， 计 算 上 而 不 是 理论 上 》 
安全 的 密码 体制 。 下 面 分 析 几 种 曾经 使 用 过 的 和 目前 正在 使 用 的 加 密 方法 。 


8.2.2 经典 加 密 技 术 


所 谓 的 经 典 加 密 方法 ， 主 要 使 用 了 以 下 3 种 加 密 技术 。 

(1) 替换 加 密 (substitution)。 用 一 个 字母 蔡 换 另 一 个 字母 ， 例 如 Caesar 密码 (D 替换 a， 
EE 替换 b 等 )。 这 种 方法 保留 了 明文 的 顺序 , 可 根据 自然 语言 的 统计 特性 (例如 字母 出 现 的 频率 ) 
破译 。 

(2) 换 位 加 密 〈transposition)。 按 照 一 定 的 规律 重 排 字母 的 顺序 。 例 如 以 CIPHER 作为 密 
钥 〈 仅 表示 顺序 )， 对 明文 attackbeginsatfour 加 密 ， 得 到 密 文 abacnuaiotettgfksr， 如 图 8-2 所 示 。 
偷 听 者 得 到 密 文 后 检查 字母 出 现 的 频率 即 可 确定 加 密 方法 是 换 位 密码 ， 然 后 若 能 根据 其 他 情况 
猜测 出 一 段 明文 ， 就 可 确定 密 钥 的 列 数 ， 再 重 排 密 文 的 顺序 进行 破译 。 


密 钥 CIPHER 

顺序 145326 

明文 attack 
begins 
atfour 

密 文 abacnuaiotettgfksr 


图 8-2 ” 换 位 加 密 的 例子 


(3) 一 次 性 填充 (one-time pad)。 把 明文 变 为 位 串 〈 例 如 用 ASCII 编码 )， 选 择 一 个 等 长 
的 随机 位 串 作为 密 钥 ， 对 二 者 进行 按 位 异 或 得 到 密 文 。 这 样 的 密码 在 理论 上 是 不 可 破解 的 ， 但 
是 这 种 密码 有 实际 的 缺陷 。 首 先是 密 钥 无 法 记忆 ， 必 须 写 在 纸 上 ， 这 在 实践 上 是 最 不 可 取 的 ; 
其 次 是 密 钥 长 度 有 限 ， 有 时 可 能 不 够 使 用 ， 最 后 是 这 个 方法 对 插入 或 丢失 字符 的 敏感 性 ， 如 果 
发 送 者 与 接收 者 在 某 一 点 上 失去 同步 ， 以 后 的 报 文 就 全 都 无 用 了 。 
8.2.3 ”现代 加 密 技术 

现代 密码 体制 使 用 的 基本 方法 仍然 是 替换 和 换 位 , 但 是 采用 更 加 复杂 的 加 密 算法 和 简单 的 
密 钥 ， 而 且 增 加 了 对 付 主动 攻击 的 手段 。 例 如 加 入 随机 的 宛 余 信息 ， 以 防止 制造 假 消息 ， 加 入 


时 间 控 制 信息 ， 以 防止 旧 消 息 重 放 。 
替换 和 换 位 可 以 用 简单 的 电路 来 实现 。 图 8-3 (a) 所 示 的 设备 称 为 P 盒 (Permutation box)， 
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用 于 改变 8 位 输入 线 的 排列 顺序 ,可 以 看 出 , 左边 输入 端 经 P 盒 变换 后 的 输出 顺序 为 36071245。 
图 8-3 (b) 所 示 的 设备 称 为 S 盒 (Substitution box)， 起 置换 作用 ， 从 左边 输入 的 3 位 首先 被 解 
码 ， 选 择 8 根 P 盒 输入 中 的 1 根 ， 将 其 置 1， 其 他 线 置 0， 经 编码 后 在 右边 输出 。 可 以 看 出 ， 
如 果 01234567 依次 输入 ， 其 输出 为 24506713 。 


了 P 盒 S 盒 乘积 密码 




















一 -解码 | 编码 





Pl P2 P3 了 P4 
S3 S7 S11 














2 an wo-o 


| 
加 


S12 
























































(Ca) P 盒 (b) S 盒 (c) 乘积 
图 8-3 ”乘积 密码 的 实现 

把 一 串 盒 子 连接 起 来 ， 可 以 实现 复杂 的 乘积 密码 (Product cipher)， 如 图 8-3(c) 所 示 ， 它 
可 以 对 12 位 进行 有 效 的 置换 。P1 的 输入 有 12 根 线 ，P1 的 输出 有 22 王 4096 根 线 ， 由 于 第 二 级 
使 用 了 4 个 $ 盒 ， 所 以 每 个 $S 的 输入 只 有 1024 根 线 ， 这 就 简化 了 S 盒 的 复杂 性 。 在 乘积 密码 
中 配置 足够 多 的 设备 , 可 以 实现 非常 复杂 的 置换 函数 。 下 面 介绍 的 DES 算法 就 是 用 类 似 的 方法 
实现 的 。 

1. DES (Data Encryption Standard) 

1977 年 1 月， 美国 NSA (National Security Agency) 根据 IBM 的 专利 技术 Lucifer 制订 了 


DES。 明 文 被 分 成 64 位 的 块 ， 对 每 个 块 进行 19 次 变换 ( 蔡 代 和 换 位 )， 其 中 16 次 变换 由 56 位 
的 密 钥 的 不 同 排列 形式 控制 (IBM 使 用 的 是 128 位 的 密 钥 ), 最 后 产生 64 位 的 密 文 块 , 如 图 8-4 


所 示 。 
明文 py 向 密 广 
&__。 | 初始 交换 16 次 普 换 和 换 位 反 向 交换 | 


图 8-4 ”DES 加密 算法 


由 于 NSA 减少 了 密 钥 ， 而 且 对 DES 的 制订 过 程 保密 ， 甚 至 为 此 取消 了 IEEE 计划 的 一 次 
密码 学 会 议 。 人 们 怀疑 NSA 的 目的 是 保护 自己 的 解密 技术 ， 因 而 对 DES 从 一 开始 就 充满 了 怀 
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疑 和 争论 。 

1977 年 ，Diffie 和 Hellman 设计 了 DES 解密 机 。 只 要 知道 一 小 段 明文 和 对 应 的 密 文 ， 该 机 
器 就 可 以 在 一 天 之 内 穷 试 2* 种 不 同 的 密 钥 (这 叫 作 野蛮 攻 击 )。 据 估计 ， 这 个 机 器 当时 的 造价 
为 2 千 万 美元 。 


2. 三 重 DES (Triple-DES) 


这 种 方法 是 DES 的 改进 算法 , 它 使 用 两 把 密 钥 对 报 文 做 三 次 DES 加 密 , 效 果 相 当 于 将 DES 
密 钥 的 长 度 加 倍 ， 克 服 了 DES 密 钥 长 度 较 短 的 缺点 。 本 来 ， 应 该 使 用 3 个 不 同 的 密 钥 进行 3 
次 加 密 ， 这 样 就 可 以 把 密 钥 的 长 度 加 长 到 3X56 王 168 位 。 但 许多 密码 设计 者 认为 168 位 的 密 
钥 已 经 超过 了 实际 需要 , 所 以 便 在 第 一 层 和 第 三 层 中 使 用 相同 的 密 钥 , 产生 一 个 有 效 长 度 为 112 
位 的 密 钥 。 之 所 以 没有 直接 采用 两 重 DES， 是 因为 第 二 层 DES 不 是 十 分 安全 ， 它 对 一 种 称 为 
“中 间 可 遇 ” 的 密码 分 析 攻 击 极为 脆弱 ， 所 以 最 终 还 是 采用 了 利用 两 个 密 钥 进行 三 重 DES 加 密 
操作 。 

假设 两 个 密 钥 分 别 是 Kl 和 K2， 其 算法 的 步骤 如 下 。 

(1) 用 密 钥 Kl 进行 DES 加 密 。 

(2) 用 K2 对 步骤 (1) 的 结果 进行 DES 解密 。 

(3) 对 步骤 (2) 的 结果 使 用 密 钥 Kl 进行 DES 加 密 。 

这 种 方法 的 缺点 是 要 花费 原来 三 倍 的 时 间 ， 但 从 另 一 方面 来 看 ， 三 重 DES 的 112 位 密 钥 
长 度 是 很 “强壮 ”的 加 密 方式 。 

3. IDEA (International Data Encryption Algorithm) 


1990 年 ， 瑞 士 联邦 技术 学 院 的 来 学 嘉和 Massey 建议 了 一 种 新 的 加 密 算法 。 这 种 算法 使 用 
128 位 的 密 钥 ， 把 明文 分 成 64 位 的 块 ， 进 行 8 轮 迭 代 加 密 。IDEA 可 以 用 硬件 或 软件 实现 ， 并 
且 比 DES 快 。 在 苏黎世 技术 学 院 用 25MHz 的 VLSI 芯片 ， 加 密 速率 是 177Mbps。 

IDEA 经 历 了 大 量 的 详细 审查 ， 对 密码 分 析 具 有 很 强 的 抵抗 能 力 ， 在 多 种 商业 产品 中 得 到 
应 用 ， 已 经 成 为 全 球 通 用 的 加 密 标准 。 


4. 高 级 加 密 标准 (Advanced Encryption Standard，AES) 


1997 年 1 月 ， 美 国 国家 标准 与 技术 局 (NIST) 为 高 级 加 密 标准 征集 新 算法 。 最 初 从 许多 
响应 者 中 挑选 了 15 个 候选 算法 ， 经 过 世界 密码 共同 体 的 分 析 ， 选 出 了 其 中 的 5 个 。 经 过 用 
ANSIC 和 Java 语言 对 5 个 算法 的 加 /解密 速度 、 密 钥 和 算法 的 安装 时 间 ， 以 及 对 各 种 攻击 的 拦 
截 程度 等 进行 了 广泛 的 测试 后 ，2000 年 10 月 ，NIST 宣布 Rijndael 算法 为 AES 的 最 佳 候 选 算 
法 ， 并 于 2002 年 5 月 26 日 发 布 为 正式 的 AES 加 密 标准 。 
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AES 支持 128、192 和 256 位 3 种 密 钥 长 度 ， 能 够 在 世界 范围 内 免 版 税 使 用 ， 提 供 的 安全 
级 别 足 以 保护 未 来 20 一 30 年 内 的 数据 ， 可 以 通过 软件 或 硬件 实现 。 


5. 流 加 密 算法 和 RC4 


所 谓 流 加 密 ， 就 是 将 数据 流 与 密 钥 生成 二 进 制 比特 流 进行 异 或 运算 的 加 密 过 程 。 这 种 算法 
采用 以 下 两 个 步骤 。 
(1) 利用 密 钥 民生 成 一 个 密 钥 流 KS 〈 伪 随机 序列 )。 
(2) 用 密 钥 流 KS 与 明文 P 进行 “ 异 或 ”运算 ， 产 生 密 文 C。 
C=P@KS (K) 
解密 过 程 则 是 用 密 钥 流 与 密 文 C 进行 “ 异 或 ”运算 ， 产 生 明文 P。 
P=C@KS (K) 
为 了 安全 ， 对 不 同 的 明文 必须 使 用 不 同 的 密 钥 流 ， 否 则 容易 被 破解 。 
Ronald L. Rivest 是 MIT 的 教授 ， 用 他 的 名 字 命 名 的 流 加 密 算法 有 RC2 一 RC6 系列 算法 ， 
其 中 RC4 是 最 常用 的 。 
RC 代表 Rivest Cipher 或 Ron's Cipher，RC4 是 Rivest 在 1987 年 设计 的 ， 其 密 钥 长 度 可 选 
择 64 位 或 128 位 。 
RC4 是 RSA 公司 私有 的 商业 机 密 ，1994 年 9 月 被 人 匿名 发 布 在 因特网 上 ， 从 此 得 以 公开 。 
这 个 算法 非常 简单 ， 就 是 256 内 的 加 法 、 置 换 和 蜡 或 运算 。 由 于 简单 ， 所 以 速度 极 快 ， 加 密 的 
速度 可 达到 DES 的 10 倍 。 


6 公 钥 加 密 算法 


以 上 加 密 算法 中 使 用 的 加 密 密 钥 和 解密 密 钥 是 相同 的 ， 称 为 共享 密 钥 算 法 或 对 称 密 钥 算 
法 。1976 年 ， 斯 坦 福 大 学 的 Diffie 和 Hellman 提出 了 使 用 不 同 的 密 钥 进行 加 密 和 解密 的 公 钥 加 
密 算法 。 设 了 为 明文 ，C 为 密 文 ，E 为 公 钥 控制 的 加 密 算 法 ，D 为 私 钥 控制 的 解密 算法 ， 这 些 
参数 满足 下 列 3 个 条 件 。 

(1) DGE(D))=P。 

(2) 不 能 由 E 导出 DD。 

(3) 选择 明文 攻击 (选择 任意 明文 一 密 文 对 以 确定 未 知 的 密 钥 ) 不 能 破解 E。 

加 密 时 计算 C=E(P)， 解密 时 计算 P=D(C)。 加 密 和 解密 是 互 逆 的 。 用 公 钥 加 密 ， 私 钥 解 密 ， 
可 实现 保密 通信 ; 用 私 钥 加 密 ， 公 钥 解 密 ， 可 实现 数字 签名 。 


7. RSA (Rivest Shamir and Adleman) 算法 


这 是 一 种 公 钥 加 密 算法 ， 方 法 是 按照 下 面 的 要 求 选择 公 钥 和 密 钥 。 
(1) 选择 两 个 大 素数 p 和 g (大 于 10'™)。 
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(2) 令 -p*9、 一 CD-D*G-D。 
(3) 选择 4 与 2 互 质 。 
(4) 选择 e， 使 e*qd=] (mod =)。 
明文 了 被 分 成 位 的 块 ,， 大 是 满足 2<<n 的 最 大 整数 ， 于 是 有 0<P<n。 加 密 时 计算 
C=P* (modn) 
这 样 公 钥 为 (e,n)。 解 密 时 计算 
P=C” (modn) 
即 私 钥 为 (dn)。 
用 例子 说 明 这 个 算法 , 设 p=3, gq=11, n=33, 二 20, 4=7, e=3, C=P? (mod 33)，P=C7 (mod 
33)。 则 有 
C=23 (mod33) =8 (mod33) =8 
了 P=87 (mod 33) =2097152 (mod 33) =2 
RSA 算法 的 安全 性 基于 大 素数 分 解 的 困难 性 。 如 果 攻 击 者 可 以 分 解 已 知 的 mw 得 到 已 和 9， 
然后 可 得 到 =， 最 后 用 Euclid 算法 ， 由 e 和 = 得 到 dg。 然 而 要 分 解 200 位 的 数 ， 需 要 40 亿 年 ; 
分 解 500 位 的 数 ， 则 需要 10” 年 。 


8.3 认证 


认证 又 分 为 实体 认证 和 消息 认证 两 种 。 实 体 认证 是 识别 通信 对 方 的 身份 ， 防 止 假冒 ， 可 以 
使 用 数字 签名 的 方法 。 消 息 认证 是 验证 消息 在 传送 或 存储 过 程 中 有 没有 被 算 改 ， 通 常 使 用 报 文 
摘要 的 方法 。 下 面 介绍 3 种 身份 认证 的 方法 ， 前 两 种 是 基于 共享 密 钥 的 ， 最 后 一 种 是 基于 公 铀 
的 认证 。 

8.3.1 基于 共享 密 钥 的 认证 


如 果 通 信 双 方 有 一 个 共享 的 密 钥 ， 则 可 以 确认 对 方 的 真实 身份 。 这 种 算法 依赖 于 一 个 双方 
都 信赖 的 密 钥 分 发 中 心 (Key Distribution Center，KDC)， 如 图 8-5 所 示 ， 其 中 的 A 和 B 分 别 
代表 发 送 者 和 接收 者 ，K。、Ks 分 别 表示 A、B 与 KDC 之 间 的 共享 密 钥 。 
1 











AK(B.K) 























图 8-5 基于 共享 密 钥 的 认证 协议 
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认证 过 程 如 下 : A 向 KDC 发 出 消息 {A, Ka(B, Ks)}， 说 明 自 己 要 和 B 通信 ， 并 指定 了 与 B 
会 话 的 密 钥 Ks。 注意 ， 这 个 消息 中 的 一 部 分 (B, Ks) 是 用 K4 加 密 了 的 ， 所 以 第 三 者 不 能 了 解 
消息 的 内 容 。KDC 知道 了 A 的 意图 后 就 构造 了 一 个 消息 {gp(4, Ks)} 发 给 B。B 用 Ks 解密 后 就 
得 到 了 A 和 Ks， 然 后 就 可 以 与 A 用 Ks 会 话 了 。 

然而 ， 主 动 攻 击 者 对 这 种 认证 方式 可 能 进行 重 放 攻击 。 例 如 A 代表 雇主 ，B 代表 银行 。 第 
三 者 C 为 A 工作 ， 通 过 银行 转账 取得 报酬 。 如 果 C 为 A 工作 了 一 次 ， 得 到 了 一 次 报酬 ， 并 偷 
听 和 复制 了 A 和 B 之 间 就 转账 问题 交换 的 报 文 ， 那 么 贪 禁 的 C 就 可 以 按照 原来 的 次 序 向 银行 
重 发 报 文 2， 冒 充 A 与 B 之 间 的 会 话 ， 以 便 得 到 第 二 次 、 第 三 次 …… 报 酬 。 在 重 放 攻 击 中 攻击 
者 不 需要 知道 会 话 密 钥 Ks, 只 要 能 猜测 密 文 的 内 容 对 自己 有 利 或 是 无 利 就 可 以 达到 攻击 的 目的 。 
8.3.2 ”Needham-Schroeder 认证 协议 


这 是 一 种 多 次 提问 一 响应 协议 ， 可 以 对 付 重 放 攻 击 ， 关 键 是 每 一 个 会 话 回合 都 有 一 个 新 的 
随机 数 在 起 作用 ， 其 应 答 过 程 如 图 8-6 所 示 。 首 先是 A 向 KDC 发 送 报 文 1， 表 明 要 与 B 通信 。 
KDC 以 报 文 2 回答 。 报 文 1 中 加 入 了 由 A 指定 的 随机 数 Re，KDC 的 回答 报 文中 也 有 Ra， 它 
的 这 个 作用 是 保证 报 文 2 是 新 鲜 的 ， 而 不 是 重 放 的 。 报 文 2 中 的 Ka(A, Ks) 是 KDC 交 给 A 的 入 
场 券 ， 其 中 有 KDC 指定 的 会 话 键 Ks， 并 且 用 B 和 KDC 之 间 的 密 钥 加 密 ，A 无 法 打开 ， 只 能 
原样 发 给 B。 在 发 给 B 的 报 文 3 中 ，A 又 指定 了 新 的 随机 数 Raz， 但 是 B 发 出 的 报 文 4 中 不 能 
返回 Ks(Raz)， 而 必须 返回 Ks(Ras-1)， 因 为 KsGRAz) 可 能 被 攻击 者 偷 听 了 。 这 时 ，A 可 以 肯定 通 
信 对 方 确实 是 B。 要 让 B 确信 对 方 是 A， 还 要 进行 一 次 提问 。 报 文 4 中 有 了 指定 的 随机 数 Ra， 
A 返回 Re-1， 证 明 这 是 对 前 一 报 文 的 应 答 。 至 此 ， 通 信 双 方 都 可 以 确认 对 方 的 身份 ， 可 以 用 
Ks 进行 会 话 了 。 这 个 协议 似乎 是 天 衣 无 缝 ， 但 也 不 是 不 可 以 攻击 的 。 
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图 8-6 Needham-Schroeder 认证 协议 
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8.3.3 ”基于 公 钥 的 认证 


这 种 认证 协议 如 图 8-7 所 示 。 人 A 给 B 发 出 Es(A,Ra), 该 报 文 用 B 的 公 钥 加 密 。.B 返回 Es(R。， 
Ra, Ks)， 用 A 的 公 钥 加 密 。 这 两 个 报 文中 分 别 有 A 和 B 指定 的 随机 数 Re 和 Ra， 因此 能 排除 
重 放 的 可 能 性 。 通 信 双 方 都 用 对 方 的 公 钥 加 密 ， 用 各 自 的 私 钥 解 密 ， 所 以 应 答 比 较 简单 。 其 中 
的 Ks 是 B 指定 的 会 话 键 。 这 个 协议 的 缺陷 是 假定 了 双方 都 知道 对 方 的 公 钥 。 但 如 果 这 个 条 件 
不 成 立 呢 ? 如 果 有 一 方 的 公 钥 是 假 的 呢 ? 


图 8-7 基于 公 钥 的 认证 协议 


























8.4 数字 签名 


与 人 们 手写 签名 的 作用 一 样 ， 数 字 签 名 系统 向 通信 双方 提供 服务 ， 使 得 A 向 B 发 送 签名 
的 消息 P， 以 便 达到 以 下 几 点 。 

(1) B 可 以 验证 消息 P 确实 来 源 于 A。 

(2) A 以 后 不 能 和 否认 发 送 过 了 。 

(3) B 不 能 编造 或 改变 消息 P。 

下 面 介 绍 两 种 数字 签名 系统 。 


8.4.1 基于 密 钥 的 数字 签名 


这 种 系统 如 图 8-8 所 示 。 设 BB 是 A 和 了 BB 共同 信赖 的 仲裁 人 。Ka。 和 Ks 分 别 是 A 和 B 与 
BB 之 间 的 密 钥 ， 而 Kss 是 只 有 BB 掌握 的 密 钥 , P 是 A 发 给 B 的 消息 ，t 是 时 间 准 。BB 解读 
了 A 的 报 文 {A, Ka(B, Ra, t, P)} 以 后 产生 了 一 个 签名 的 消息 Kas(A, t, P)， 并 装配 成 发 给 B 的 报 
文 {Kp(A, Ra 了 P, Kap(A,tP 了 ))}。B 可 以 解密 该 报 文 ， 阅 读 消息 P， 并 保留 证 据 Kas(A, +, P)。 由 
于 A 和 B 之 间 的 通信 和 是 通过 中 间 人 BB 的 , 所 以 不 必 怀疑 对 方 的 身份 。 又 由 于 证 据 Kaa(A, t,P) 
的 存在 ，A 不 能 否认 发 送 过 消息 P，B 也 不 能 改变 得 到 的 消息 P， 因 为 BB 仲裁 时 可 能 会 当场 解 
密 Ksa(A, t, P)， 得 到 发 送 人 、 发 送 时 间 和 原来 的 消息 P 了 。 
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图 8-8 ”基于 密 钥 的 数字 签名 
8.4.2 ”基于 公 钥 的 数字 签名 


利用 公 钥 加 密 算 法 的 数字 签名 系统 如 图 8-9 所 示 。 如 果 A 方 否 认 了 ，B 可 以 拿 出 Da(P)， 
并 用 A 的 公 钥 EA 解密 得 到 P， 从 而 证 明 P 是 A 发送 的 。 如 果 B 把 消息 了 P 算 改 了 ， 当 A 要 求 B 
出 示 原 来 的 Da(P) 时 ，B 拿 不 出 来 。 




















发 送 方 接收 方 
A 的 私 钥 B 的 公 钥 B 的 私 钥 A 的 公 钥 
De Ea 这 








Da(P) Ep(DA(P)) Da(P) 
图 8-9 基于 公 钥 的 数字 签名 





8.5 报 文摘 要 


用 于 差错 控制 的 报 文 检验 是 根据 元 余 位 检查 报 文 是 否 受到 信道 干扰 的 影响 , 与 之 类 似 的 报 
文摘 要 方案 是 计算 密码 校 验 和 ， 即 固定 长 度 的 认证 码 ， 附 加 在 消息 后 面 发 送 ， 根 据 认 证 码 检查 
报 文 是 否 被 算 改 。 设 M 是 可 变 长 的 报 文 ，K 是 发 送 者 和 接收 者 共享 的 密 钥 ， 令 MD=Cx(M)， 
这 就 是 算出 的 报 文摘 要 (Message Digest)， 如 图 8-10 所 示 。 由 于 报 文摘 要 是 原 报 文 唯一 的 压缩 
表示 ， 代 表 了 原来 报 文 的 特征 ， 所 以 也 叫 作 数字 指纹 (Digital Fingerprint)。 

散 列 (Hash) 算法 将 任意 长 度 的 二 进 制 串 映射 为 固定 长 度 的 二 进 制 串 ， 这 个 长 度 较 小 的 二 
进 制 串 称 为 散 列 值 。 散 列 值 是 一 段 数据 唯一 的 、 紧 凑 的 表示 形式 。 如 果 对 一 段 明 文 只 更 改 其 中 
的 一 个 字母 ， 随 后 的 散 列 变换 都 将 产生 不 同 的 散 列 值 。 因 为 要 找到 散 列 值 相同 的 两 个 不 同 的 输 
入 在 计算 上 是 不 可 能 的 ， 所 以 数据 的 散 列 值 可 以 检验 数据 的 完整 性 。 
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图 8-10 报 文摘 要 方案 


通常 的 实现 方案 是 对 任意 长 的 明文 M 进行 单 向 散 列 变换 , 计算 固定 长 度 的 位 串 作 为 报 文摘 
要 。 对 Hash 函数 h-HCOM) 的 要 求 如 下 。 

(1) 可 用 于 任意 大 小 的 数据 块 。 

(2) 能 产生 固定 大 小 的 输出 。 

(3) 软 / 硬 件 容易 实现 。 

(4) 对 于 任意 m， 找 出 x， 满 足 H(x)=m， 是 不 可 计算 的 。 

(5) 对 于 任意 x， 找 出 y 友 ， 使 得 H(x)=H(y)， 是 不 可 计算 的 。 

(6) 找 出 (x, y)， 使 得 H(x)=H(y)， 是 不 可 计算 的 。 

前 3 项 要 求 显而易见 是 实际 应 用 和 实现 的 需要 。 第 4 项 要 求 就 是 所 谓 的 单 向 性 ， 这 个 条 件 
使 得 攻击 者 不 能 由 偷 听 到 的 m 得 到 原来 的 x。 第 5 项 要 求 是 为 了 防止 伪造 攻击 ， 使 得 攻击 者 不 
能 用 自己 制造 的 假 消息 y 冒充 原来 的 消息 x。 第 6 项 要 求 是 为 了 对 付 生 日 攻击 的 。 

报 文摘 要 可 以 用 于 加 速 数字 签名 算法 ， 在 图 8-8 中 ，BB 发 给 B 的 报 文中 报 文 了 实际 上 出 
现 了 两 次 ， 一 次 是 明文 ， 一 次 是 密 文 ， 这 显然 增加 了 传送 的 数据 量 。 如 果 改 成 图 8-11 所 示 的 报 
文 ，Kpa(A,4P) 减 少 为 MD(P)， 则 传送 过 程 可 以 大 大 加 快 。 

















A, Ka(B, Ra, t,P) [= 








BB B 











Ks (A, Ra, t, P, Ka(A, t, MD (P))) 











图 8-11 报 文摘 要 的 例子 


8.5.1 报 文摘 要 算法 


使 用 最 广 的 报 文摘 要 算法 是 MD5， 这 是 Ronald 工 . Rivest 设计 的 一 系列 Hash 函数 中 的 第 5 
个 。 其 基本 思想 就 是 用 足够 复杂 的 方法 把 报 文 位 充分 “ 弄 乱 ”， 使 得 每 一 个 输出 位 都 受到 每 一 
个 输入 位 的 影响 。 具 体 的 操作 分 成 下 列 几 个 步骤 。 
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(1) 分 组 和 填充 。 把 明文 报 文 按 512 位 分 组 ， 最 后 要 填充 一 定 长 度 的 " 1000.... " ， 使 得 


报 文 长 度 =448 (mod 512) 


(2) 附加 。 最 后 加 上 64 位 的 报 文 长 度 字段 ， 整 个 明文 恰好 为 512 的 整数 倍 。 
(3) 初始 化 。 置 4 个 32 位 长 的 缓冲 区 ABCD 分 别 为 : 


A=01234567 


B=89ABCDEF C=FEDCBA98 


D=76543210 


(4) 处 理 。 用 4 个 不 同 的 基本 逻辑 函数 (F，G，H,， I) 进行 4 轮 处 理 ， 每 一 轮 以 ABCD 
和 当前 512 位 的 块 为 输入 ， 处 理 后 送 入 ABCD (128 位 )， 产 生 128 位 的 报 文摘 要 ， 如 图 8-12 


所 示 。 





MDs 
二 128 





Al el ct pt 





ABCD" ABCD, ¥,, 7(1..16) 
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图 8-12 MD5 的 处 理 过 程 
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关于 MD5 的 安全 性 可 以 解释 如 下 : 由 于 算法 的 单 向 性 , 因此 要 找 出 具有 相同 Hush 值 的 两 
个 不 同 报 文 是 不 可 计算 的 。 如 果 采 用 野蛮 攻击 ， 寻 找 具 有 给 定 Hush 值 的 报 文 的 计算 复杂 性 为 
23， 若 每 秒 试验 10 亿 个 报 文 ， 需 要 1.07X 10” 年 。 采用 生日 攻击 法 ,寻找 有 相同 Hush 值 的 两 
个 报 文 的 计算 复杂 性 为 2*， 用 同样 的 计算 机 需要 585 年 。 从 实用 性 考虑 ，MD5 用 32 位 软件 可 


高 速 实现 ， 所 以 有 广泛 应 用 。 


8.5.2 ”安全 散 列 算法 


安全 散 列 算法 (Secure Hash Algorithm，SHA) 由 美国 国家 标准 和 技术 协会 于 1993 年 提出 ， 


并 被 定义 为 安全 散 列 标准 (Secure Hash Standard，SHS)。SHA-1 是 1994 年 修订 的 版 本 ， 纠 正 
了 SHA 一 个 未 公布 的 缺陷 。 这 种 算法 接收 的 输入 报 文 小 于 2 位 ， 产 生 160 位 的 报 文摘 要 。 该 
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算法 设计 的 目标 是 使 得 找 出 一 个 能 够 匹配 给 定 的 散 列 值 的 文本 实际 是 不 可 能 计算 的 。 也 就 是 
说 ， 如 果 对 文档 A 已 经 计算 出 了 散 列 值 H(A)， 那 么 很 难 找到 一 个 文档 B， 使 其 散 列 值 
H(B) 二 H(A), 尤其 困难 的 是 无 法 找到 满足 上 述 条 件 的 , 而 且 又 是 指定 内 容 的 文档 B。SHA 算法 
的 缺点 是 速度 比 MD5 慢 ， 但 是 SHA 的 报 文摘 更 长 ， 更 有 利于 对 抗 野蛮 攻击 。 


8.5.3 散 列 式 报 文 认 证 码 


散 列 式 报 文 认证 码 (Hashed Message Authentication Code, HMAC) 是 利用 对 称 密 钥 生成 报 
文 认证 码 的 散 列 算法 ， 可 以 提供 数据 完整 性 数据 源 身 份 认证 。 为 了 说 明 HMAC 的 原理 ,假设 五 
是 一 种 散 列 函数 (例如 MD5 或 SHA-1), 互 把 任意 长 度 的 文本 作为 输入 ,产生 长 度 为 工 位 的 输 
出 (对 于 MD5, L=128; 对 于 SHA-1，L=160)， 并 且 假 设 玉 是 由 发 送 方 和 接收 方 共享 的 报 文 认 
证 密 钥 ， 长 度 不 大 于 64 字 节 ， 如 果 小 于 64 字 节 ， 后 面 加 0， 补 够 64 字 节 。 假 定 有 下 面 两 个 
64 字 节 的 串 ipad (输入 串 ) 和 opad (输出 串 ) 。 

ipad=0X36， 重 复 64 次 ; 

opad=0X5C， 重 复 64 次 。 

函数 HMAC 把 玉 和 Text 作为 输入 ， 产 生 

HMACk(Text)=H(K ® opad, H(K eipad, Texb) 
作为 输出 ， 即 

(1) 在 KK 后 附加 0， 生 成 64 字 节 的 串 。 

(2) 将 第 (1) 步 产生 的 串 与 ipad 按 位 异 或 。 

(3) 把 Text 附加 在 第 (2) 步 产生 的 结果 后 面 。 

(4) 对 第 (3) 步 产生 的 结果 应 用 函数 HH。 

(5) 将 第 〈1) 步 产生 的 串 与 opad 按 位 异 或 。 

(6) 把 第 〈4) 步 产生 的 结果 附加 在 第 〈5) 步 结 果 的 后 面 。 

(7) 对 第 〈6) 步 产生 的 结果 引用 函数 再， 并 输出 计算 结果 。 

HMAC 的 密 钥 长 度 至 少 为 工 位 ， 更 长 的 密 钥 并 不 能 增强 函数 的 安全 性 。HMAC 允许 把 最 
后 的 输出 截 短 到 80 位 ， 这 样 更 简单 有 效 ， 且 不 损失 安全 强度 。 认 证 一 个 数据 流 〈Text) 的 总 费 
用 接近 于 对 该 数据 流 进 行 散 列 的 费用 ， 对 很 长 的 数据 流 更 是 如 此 。 

HMAC 使 用 现 有 的 散 列 函数 卫 而 不 用 修改 互 的 代码 ， 这 样 可 以 使 用 已 有 的 五 代码 库 ， 而 
且 可 以 随时 用 一 个 散 列 函数 代替 另 一 个 散 列 函数 。HMAC-MD5 已 经 被 IETF 指定 为 Intemet 安 
全 协议 IPSec 的 验证 机 制 ， 提 供 数据 源 认 证 和 数据 完整 性 保护 。 

HMAC 的 一 个 典型 应 用 是 用 在 “提问 /响应 〈Challenge/Response) ” 式 身 份 认 证 中 ， 认 证 
流程 如 下 。 
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(1) 先 由 客户 端 向 服务 器 发 出 一 个 认证 请 求 。 

(2) 服务 器 接 到 此 请 求 后 生成 一 个 随机 数 并 通过 网 络 传输 给 客户 端 〈 此 为 提问 )。 

(3) 客户 端 将 收 到 的 随机 数 提供 给 ePass (数字 证 书 的 存储 介质 ) ， 由 ePass 使 用 该 随机 数 
与 存储 的 密 钥 进行 HMAC-MD5 运算 ， 并 得 到 一 个 结果 作为 证 据 传 给 服务 器 〈 此 为 响应 )。 

(4) 与 此 同时 ， 服 务 器 也 使 用 该 随机 数 与 存储 在 服务 器 数据 库 中 的 该 客户 密 钥 进行 
HMAC-MDS5 运算 ， 如 果 服 务 器 的 运算 结果 与 客户 端 传 回 的 响应 结果 相同 ， 则 认为 客户 端 是 一 
个 合法 用 户 。 


8.6 ”数字 证 书 


8.6.1 数字 证 书 的 概念 


数字 证 书 是 各 类 终端 实体 和 最 终 用 户 在 网 上 进行 信息 交流 及 商务 活动 的 身份 证 明 , 在 电子 
交易 的 各 个 环节 ， 交 易 的 各 方 都 需 验证 对 方 数字 证 书 的 有 效 性 ， 从 而 解决 相互 间 的 信任 问题 。 

数字 证 书 采 用 公 钥 体制 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 和 解密 。 每 个 用 户 自 己 设 定 
一 个 特定 的 仅 为 本 人 所 知 的 私有 密 钥 〈 私 钥 )， 用 它 进行 解密 和 签名 ， 同 时 设 定 一 个 公共 密 钥 
( 公 钥 )， 并 由 本 人 公开 ， 为 一 组 用 户 所 共享 ， 用 于 加 密 和 验证 。 公 开 密 钥 技术 解决 了 密 钥 发 布 
的 管理 问题 。 一 般 情况 下 ,证书 中 还 包括 密 钥 的 有 效 时 间 、 发 证 机 构 〔 证 书 授权 中 心 ) 的 名 称 
及 该 证 书 的 序列 号 等 信息 。 数 字 证 书 的 格式 遵循 ITUTX.509 国际 标准 。 

用 户 的 数字 证 书 由 某 个 可 信 的 证 书 发 放 机 构 (Certification Authority，CA) 建立 ， 并 由 CA 
或 用 户 将 其 放 入 公共 目录 中 ， 以 供 其 他 用 户 访问 。 目 录 服 务 器 本 身 并 不 负责 为 用 户 创建 数字 证 
书 ， 其 作用 仅仅 是 为 用 户 访 问 数字 证 书 提供 方便 。 

在 X.509 标准 中 ， 数 字 证 书 的 一 般 格式 包含 的 数据 域 如 下 。 

(1) 版 本 号 : 用 于 区 分 X.509 的 不 同 版 本 。 

(2) 序列 号 : 由 同一 发 行者 (CA) 发 放 的 每 个 证 书 的 序列 号 是 唯一 的 。 

(3) 签名 算法 : 签署 证 书 所 用 的 算法 及 参数 。 

(4) 发 行者 : 指 建立 和 签署 证 书 的 CA 的 X.509 名 字 。 

(5) 有 效 期 : 包括 证 书 有 效 期 的 起 始 时 间 和 终止 时 间 。 

(6) 主体 名 : 指证 书 持 有 者 的 名 称 及 有 关 信息 。 

(7) 公 钥 : 有 效 的 公 钥 以 及 其 使 用 方法 。 

(8) 发 行者 卫 : 任 选 的 名 字 唯 一 地 标识 证 书 的 发 行者 。 

(9) 主体 卫 : 任 选 的 名 字 唯 一 地 标识 证 书 的 持 有 者 。 
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(10) 扩展 域 : 添加 的 扩充 信息 。 
(11) 认证 机 构 的 签名 : 用 CA 私 钥 对 证 书 的 签名 。 


8.6.2 证书 的 获取 


CA 为 用 户 产生 的 证 书 应 具有 以 下 特性 。 

(1) 只 要 得 到 CA 的 公 钥 ， 就 能 由 此 得 到 CA 为 用 户 签署 的 公 钥 。 

(2) 除 CA 外 ， 其 他 任何 人 员 都 不 能 以 不 被 察觉 的 方式 修改 证 书 的 内 容 。 

因为 证 书 是 不 可 伪造 的 ， 因 此 无 须 对 存放 证 书 的 目录 施加 特别 的 保护 。 

如 果 所 有 用 户 都 由 同一 CA 签署 证 书 ， 则 这 一 CA 必须 取得 所 有 用 户 的 信任 。 用 户 证 书 除 
了 能 放 在 公共 目录 中 供 他 人 访问 外 ， 还 可 以 由 用 户 直 接 把 证 书 转发 给 其 他 用 户 。 用 户 B 得 到 A 
的 证 书后 , 可 相信 用 A 的 公 钥 加 密 的 消息 不 会 被 他 人 获悉 , 还 可 信任 用 A 的 私 钥 签 署 的 消息 不 
是 伪造 的 。 

如 果 用 户 数量 很 多 ， 仅 一 个 CA 负责 为 所 有 用 户 签署 证 书 可 能 不 现实 。 通 常 应 有 多 个 CA， 
每 个 CA 为 一 部 分 用 户 发 行 和 签署 证 书 。 

设 用 户 A 已 从 证 书 发 放 机 构 X, 处 获取 了 证 书 ， 用 户 B 已 从 X, 处 获取 了 证 书 。 如果 A 不 
知 X 的 公 钥 ， 他 虽然 能 读 取 B 的 证 书 , 但 却 无 法 验证 用 户 B 证 书 中 X 的 签名 ， 因 此 B 的 证 书 
对 A 来 说 是 没有 用 处 的 。 然 而 ， 如 果 两 个 证 书 发 放 机 构 Xi 和 X 彼此 间 已 经 安全 地 交换 了 公开 
密 钥 ， 则 A 可 通过 以 下 过 程 获取 B 的 公开 密 钥 。 

(1) A 从 目录 中 获取 由 Xi 签署 的 X 的 证 书 Xi 《Xz》， 因 为 A 知道 Xi 的 公开 密 钥 ， 所 以 
能 验证 X 的 证 书 ， 并 从 中 得 到 X, 的 公开 密 钥 。 

(2) A 再 从 目录 中 获取 由 X 签署 的 B 的 证 书 X《B》， 并 由 X 的 公开 密 钥 对 此 加 以 验证 ， 
然后 从 中 得 到 B 的 公开 密 钥 。 

在 以 上 过 程 中 ，A 是 通过 一 个 证 书 链 来 获取 B 的 公开 密 钥 的 ， 证 书 链 可 表示 为 

XI (Xs) X, 《BY 
类 似 地 ，B 能 通过 相反 的 证 书 链 获取 A 的 公开 密 钥 ， 表 示 为 
X, (Xi) Xi (A 》 
以 上 证 书 链 中 只 涉及 两 个 证 书 。 同 样 ， 及 个 证 书 的 证 书 链 可 表示 为 
X (Xs) Xs (Xs) ££Xy (BY 

此 时 ， 任 意 两 个 相 邻 的 CAX 和 CAXi+i 已 彼此 间 为 对 方 建立 了 证 书 ， 对 每 一 个 CA 来 说 ， 
由 其 他 CA 为 这 一 CA 建立 的 所 有 证 书 都 应 存放 于 目录 中 ， 并 使 得 用 户 知道 所 有 证 书 相 互 之 间 
的 连接 关系 ， 从 而 可 获取 另 一 用 户 的 公 钥 证 书 。X.509 建议 将 所 有 的 CA 以 层次 结构 组 织 起 来 ， 
用 户 A 可 从 目录 中 得 到 相应 的 证 书 以 建立 到 B 的 以 下 证 书 链 。 

X 《W)》 W 《V)》 V ¢《U》U 《YY (2Z»》 Z 《BY 
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并 通过 该 证 书 链 获取 B 的 公开 密 钥 。 
类 似 地 ，B 可 建立 以 下 证 书 链 以 获取 A 的 公开 密 钥 。 
X 《W)》 W 《V)》 V 《UY U 《Y)》 Y §2) Z 《A 


8.6.3 证 书 的 吊销 


从 证 书 的 格式 上 可 以 看 到 ， 每 个 证 书 都 有 一 个 有 效 期 ， 然 而 有 些 证 书 还 未 到 截止 日 期 就 会 
被 发 放 该 证 书 的 CA 吊销 ， 这 可 能 是 由 于 用 户 的 私 钥 已 被 泄漏 ， 或 者 该 用 户 不 再 由 该 CA 来 认 
证 ， 或 者 CA 为 该 用 户 签署 证 书 的 私 钥 己 经 泄漏 。 为 此 ， 每 个 CA 还 必须 维护 一 个 证 书 吊销 列 
表 (Certificate Revocation List，CRL)， 其 中 存放 所 有 未 到 期 而 被 提前 吊销 的 证 书 ， 包 括 该 CA 
发 放 给 用 户 和 发 放 给 其 他 CA 的 证 书 。CRL 还 必须 由 该 CA 签字 ， 然 后 存放 于 目录 中 以 供 他 人 
查询 。 

CRL 中 的 数据 域 包括 发 行者 CA 的 名 称 、 建 立 CRL 的 日 期 、 计 划 公 布下 一 CRL 的 日 期 以 
及 每 个 被 吊销 的 证 书 数据 域 。 被 吊销 的 证 书 数据 域 包括 该 证 书 的 序列 号 和 被 吊销 的 日 期 。 对 一 
个 CA 来 说 ， 它 发 放 的 每 个 证 书 的 序列 号 是 唯一 的 ， 所 以 可 用 序列 号 来 识别 每 个 证 书 。 

因此 ， 每 个 用 户 收 到 他 人 消息 中 的 证 书 时 都 必须 通过 目录 检查 这 一 证 书 是 否 已 经 被 吊销 ， 
为 避免 搜索 目录 引起 的 延迟 以 及 因此 而 增加 的 费用 ， 用 户 自 己 也 可 维护 一 个 有 效 证 书 和 被 吊销 
证 书 的 局 部 缓存 区 。 


8.7” 密 钥 管 理 


密 钥 是 加 密 算法 中 的 可 变 部 分 ， 在 采用 加 密 技术 保护 的 信息 系统 中 ， 其 安全 性 取决 于 密 钥 
的 保护 ， 而 不 是 对 算法 或 硬件 的 保护 。 密 码 体制 可 以 公开 ， 密 码 设备 可 能 丢失 ， 但 同一 型 号 的 
密码 机 仍 可 继续 使 用 。 然 而 ， 密 钥 一 旦 丢失 或 出 错 ， 不 仅 合法 用 户 不 能 提取 信息 ， 而 且 可 能 使 
非法 用 户 窃取 信息 。 因 此 ， 密 钥 的 管理 是 关键 问题 。 

密 钥 管理 是 指 处 理 密 钥 自 产 生 到 最 终 销 毁 的 整个 过 程 中 的 有 关 问题 ， 包 括 系统 的 初始 化 ， 
密 钥 的 产生 、 存 储 、 备 份 /恢复 、 装 入 、 分 配 、 保 护 、 更 新 、 控 制 、 丢 失 、 吊 销 和 销毁 。 


8.7.1 密 钥 管理 概述 


1. 对 密 钥 的 威胁 


对 密 钥 的 威胁 如 下 。 

(1) 私 钥 的 泄露 。 

(2) 私 钥 或 公 钥 的 真实 性 〈Authenticity) 丧失 。 

(3) 私 钥 或 公 钥 未 经 授权 使 用 ， 例 如 使 用 失效 的 密 钥 或 违例 使 用 密 钥 。 
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2. 密 钥 的 种 类 


下 面 介绍 密 钥 的 种 类 。 

(1) 基本 密 钥 局 ， 由 用 户 选 定 或 由 系统 分 配给 用 户 的 、 可 在 较 长 时 间 ( 相 对 于 会 话 密 钥 ) 
内 由 一 对 用 户 所 专用 的 密 钥 ， 故 也 称 用 户 密 钥 。 基 本 密 钥 要 求 既 安 全 又 便于 更 换 ， 与 会 话 密 钥 
一 起 去 启动 和 控制 某 种 算法 所 构造 的 密 钥 产生 器 ， 生 成 用 于 加 密 数 据 的 密 钥 流 。 

(2) 会 话 密 钥 太 : 两 个 终端 用 户 在 交换 数据 时 使 用 的 密 钥 。 当 用 会 话 密 钥 对 传输 的 数据 进 
行 保护 时 称 为 数据 加 密 密 钥 ， 用 会 话 密 钥 来 保护 文件 时 称 为 文件 密 钥 。 会 话 密 钥 的 作用 是 使 用 
户 不 必 频 繁 地 更 换 基 本 密 铀 ， 有 利于 密 钥 的 安全 和 管理 。 会 话 密 钥 可 由 用 户 双方 预先 约定 ， 也 
可 由 系统 通过 密 钥 建 立 协议 动态 地 生成 并 分 发 给 通信 双方 。 天 使 用 的 时 间 短 ， 限 制 了 密码 分 析 
者 所 能 得 到 的 同一 密 钥 加 密 的 密 文 数量 。 会 话 密 钥 只 在 需要 时 通过 协议 建立 ， 也 降低 了 密 钥 的 
存储 容量 。 

(3) 密 钥 加 密 密 钥 大 用 于 对 传送 的 会 话 密 钥 或 文件 密 钥 进行 加 密 的 密 钥 ， 也 称 辅助 二 级 
密 钥 或 密 钥 传 送 密 钥 。 通信 网 中 每 个 节点 都 分 配 有 一 个 , 为 了 安全 , 各 节点 的 大 应 互 不 相同 。 

(4) 主机 密 钥 厨 : 对 密 钥 加 密 密 钥 进行 加 密 的 密 钥 ， 存 于 主机 处 理 器 中 。 

在 双 钥 体制 下 ， 有 公开 钥 〈 公 钥 ) 和 秘密 钥 〈 私 钥 )、 签 字 密 钥 和 认证 密 钥 之 分 。 


8.7.2 ” 密 钥 管理 体制 


密 钥 管理 是 信息 安全 的 核心 技术 之 一 。 在 美国 信息 保障 技术 框架 (Information Assurance 
Technical Framework，IAIF) 中 定义 的 密 钥 管理 体制 主要 有 3 种 : 一 是 适用 于 封闭 网 的 技术 ， 
以 传统 的 密 钥 分 发 中 心 为 代表 的 KMI 机 制 ， 二 是 适用 于 开放 网 的 PKI 机 制 ， 三 是 适用 于 规模 
化 专用 网 的 SPK 技术 。 

1. KMI 技术 


密 钥 管理 基础 结构 (Key Management Infrastructure, KMI) 假定 有 一 个 密 钥 分 发 中 心 (KDC) 
来 负责 发 放 密 钥 。 这 种 结构 经 历 了 从 静态 分 发 到 动态 分 发 的 发 展 历程 ， 目 前 仍然 是 密 钥 管理 的 
主要 手段 。 无 论 是 静态 分 发 还 是 动态 分 发 ， 都 是 基于 秘密 的 物理 通道 进行 的 。 

1) 静态 分 发 

静态 分 发 是 预 配置 技术 ， 大 致 有 以 下 几 种 。 

(1) 点 对 点 配置 。 可 用 单 钥 实 现 ， 也 可 用 双 钥 实现 。 单 钥 分 发 是 最 简单 而 有 效 的 密 钥 管理 
技术 ， 通 过 秘密 的 物理 通道 实现 。 单 钥 为 认证 提供 可 靠 的 参数 ， 但 不 能 提供 不 可 否认 性 服务 。 
当 有 数字 签名 要 求 时 ， 则 用 双 钥 实现 。 

(2) 一 对 多 配置 。 可 用 单 钥 或 双 钥 实现 ， 是 点 对 点 分 发 的 扩展 ， 只 是 在 中 心 保 留 所 有 各 端 
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的 密 钥 ， 而 各 端 只 保留 自己 的 密 钥 。 一 对 多 的 密 钥 分 配 在 银行 清算 、 军 事 指挥 、 数 据 库 系 统 中 
仍 为 主流 技术 ， 也 是 建立 秘密 通道 的 主要 方法 。 

(3) 格 状 网 配置 。 可 以 用 单 钥 实 现 ， 也 可 以 用 双 钥 实现 。 格 状 网 的 密 钥 配 置 量 为 全 网 个 
终端 用 户 中 选 2 的 组 和 数 。Kerberos 曾 安 排 过 25 万 个 用 户 的 密 钥 。 格 状 网 一 般 都 要 求 提供 数字 
签名 服务 ， 因 此 多 数 用 双 钥 实现 ， 即 各 端 保留 自己 的 私 铀 和 所 有 终端 的 公 铀 。 如 果 用 户 量 为 25 
万 个 ， 则 每 一 个 终端 用 户 要 保留 25 万 个 公 钥 。 

2) 动态 分 发 

动态 分 发 是 “请 求 一 分 发 ”机 制 ， 是 与 物理 分 发 相对 应 的 电子 分 发 ， 在 秘密 通道 的 基础 上 
进行 ， 一 般 用 于 建立 实时 通信 中 的 会 话 密 铀 ， 在 一 定 意义 上 缓解 了 密 钥 管理 规模 化 的 矛盾 。 动 
态 分 发 有 以 下 儿 种 形式 。 

(1) 基于 单 钥 的 单 钥 分 发 。 在 用 单 密 钥 实 现时 , 首先 在 静态 分 发 方式 下 建立 星 状 密 钥 配 置 ， 
在 此 基础 上 解决 会 话 密 钥 的 分 发 。 这 种 密 钥 分 发 方式 简单 易 行 。 

(2) 基于 单 钥 的 双 钥 分 发 。 在 双 钥 体制 下 ， 可 以 将 公 、 私 钥 都 当 作 秘 密 变量 ,也 可 以 将 公 、 
私 钥 分 开 ， 只 把 私 钥 当 作 秘 密 变 量 ， 公 钥 当 作 公 开 变量 。 尽 管 将 公 钥 当 作 公 开 变 量 ， 但 仍然 存 
在 被 假冒 或 算 改 的 可 能 ， 因 此 需要 有 一 种 公 钥 传 递 协议 证 明 其 真实 性 。 基 于 单 钥 的 公 钥 分 发 的 
前 提 是 密 钥 分 发 中 心 (C) 和 各 终端 用 户 (A、B) 之 间 已 存在 单 钥 的 星 状 配置 ， 分 发 过 程 如 下 。 

。 ”A 一 C: 申请 B 的 公 钥 ， 包括 A 的 时 间 鹤 。 

。 CA: 将 B 的 公 钥 用 单 密 钥 加 密 发 送 ， 包 括 A 的 时 间 锥 。 

。 A 一 B: 用 B 的 公 钥 加 密 A 的 身份 标识 和 会 话 序号 Ni。 

B 一 C: 申请 A 的 公 钥 ， 包括 B 的 时 间 准 。 

C 一 B: 将 A 的 公 钥 用 单 密 钥 加 密 发 送 ， 包 括 B 的 时 间 鹤 。 

B 一 A: 用 A 的 公 钥 加 密 A 的 会 话 序号 Ni 和 B 的 会 话 序 号 N2。 
A 一 B: 用 B 的 公 钥 加 密 N,， 以 确认 会 话 建立 。 


2. PKI 技术 


在 密 钥 管理 中 , 不 依赖 秘密 信道 的 密 钥 分 发 技术 一 直 是 一 个 难题 .1976 年 , Deffie 和 Hellman 
提出 了 双 钥 密码 体制 和 D-H 密 钥 交换 协议 ， 大 大 促进 了 这 一 领域 的 发 展 。 但 是 ， 在 双 钥 体制 中 
只 是 有 了 公 、 私 钥 的 概念 ， 私 钥 的 分 发 仍然 依赖 于 秘密 通道 。1991 年 ，PGP 首先 提出 了 Web of 
Trust 信任 模型 和 密 钥 由 个 人 产生 的 思路 ， 避 开 了 私 钥 的 传递 ， 从 而 避 开 了 秘密 通道 ， 推 动 了 
PKI 技术 的 发 展 。 

公 钥 基础 结构 (Public Key Infrastructure，PKI) 是 运用 公 钥 的 概念 和 技术 来 提供 安全 服务 
的 、 普 遍 适 用 的 网 络 安全 基础 设施 ， 包 括 由 PKI 策略 、 软 /硬件 系统 、 认 证 中 心 、 注 册 机 构 
(Registration Authority，RA)、 证 书签 发 系统 和 PKI 应 用 等 构成 的 安全 体系 ， 如 图 8-13 所 示 。 
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认证 中 心 注册 机 构 证 书签 发 系统 

















PKI 策 略 钦 /硬件 系统 











图 8-13 PKI 的 组 成 


PKI 策略 定义 了 信息 安全 的 指导 方针 和 密码 系统 的 使 用 规则 ， 具 体内 容 包括 CA 之 间 的 信 
任 关系 、 遵 循 的 技术 标准 、 安 全 策略 、 服 务 对 象 、 管 理 框架 、 认 证 规则 、 运 作 制 度 、 所 涉及 的 
法 律 关系 等 ， 软 /硬件 系统 是 PKI 运行 的 平台 ， 包 括 认证 服务 器 、 目 录 服 务 器 等 ，CA 负责 密 钥 
的 生成 和 分 配 ， 注 册 机 构 是 用 户 (subscriber) 与 CA 之 间 的 接口 ， 负 责 对 用 户 的 认证 ; 证 书签 
发 系统 负责 公 钥 数字 证 书 的 分 发 ， 可 以 由 用 户 自 己 或 通过 目录 服务 器 进行 发 放 ; PKI 的 应 用 非 
常 广 泛 ，Web 通信 、 电 子 邮 件 、 电 子 数据 交换 、 电 子 商 务 、 网 上 信用 卡 交易 、 虚 拟 专用 网 等 都 
是 PKI 潜在 的 应 用 领域 。 

自 20 世纪 90 年 代 以 来 ，PKI 技术 逐渐 得 到 了 各 国政 府 和 许多 企业 的 重视 ， 由 理论 研究 进 
入 商业 应 用 阶段 。IETF 和 ISO 等 国际 组 织 陆续 颁布 了 X.509、PKIX、PKCS、S/MIME、SSL、 
SET、JIPSec、LDAP 等 一 系列 与 PKI 应 用 有 关 的 标准 ; RSA、VeriSign、Entrust、Baltimore 等 
网 络 安全 公司 纷纷 推出 了 PKI 产品 和 服务 ; 网 络 设备 制造 商 和 软件 公司 开始 在 网 络 产品 中 增加 
PKI 功能 ;美国 、 加 拿 大、 韩国 、 日 本 和 欧盟 等 国家 相继 建立 了 PKI 体系 ; 银行、 证 券 、 保 险 
和 电信 等 行业 的 用 户 开始 接受 和 使 用 PKI 技术 。 

PKI 解决 了 不 依赖 秘密 信道 进行 密 钥 管理 的 重大 课题 ， 但 这 只 是 概念 的 转变 ， 并 没有 多 少 
新 技术 。PKI 是 在 民间 密码 研究 摆脱 政府 控制 的 斗争 中 发 展 起 来 的 ， 这 种 斗争 一 度 达到 了 白 热 
化 程度 ，PGP 的 发 明 者 Philip Zimmermann 曾经 因为 违反 美国 的 密码 产品 贸易 管制 政策 而 被 联 
邦 政府 调查 。PKI 以 商业 运作 的 形式 壮大 起 来 ， 以 国际 标准 的 形式 确定 ，PKI 技术 完全 开放 ， 
甚至 连 一 向 持 反 对 态度 的 美国 国防 部 (DoD)、 联 邦 政府 也 不 得 不 开发 PKI 策略 。DoD 定义 的 
KMIPKI 标准 规定 了 用 于 管理 公 钥 证 书 和 对 称 密 钥 的 技术 、 服 务 和 过 程 ，KMI 是 提供 信息 保障 
能 力 的 基础 架构 ，PKI 是 KMI 的 主要 组 成 部 分 ， 提 供 了 生成 、 生 产 、 分 发 、 控 制 和 跟踪 公 钥 证 
书 的 服务 框架 。 

KMI 和 PKI 两 种 密 钥 管 理 体制 各 有 其 优 缺 点 和 适用 范围 。KMI 具有 很 好 的 封闭 性 ,而 PKI 
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具有 很 好 的 扩展 性 。KMI 的 密 钥 管理 机 制 可 形成 各 种 封闭 环境 ， 可 作为 网 络 隔离 的 基本 逻辑 手 
段 ， 而 PKI 适用 于 各 种 开放 业务 ， 但 却 不 适应 封闭 的 专用 业务 和 保密 性 业务 。KMI 是 集中 式 的 
基于 主管 方 的 管理 模式 ， 为 身份 认证 提供 直接 信任 和 一 级 推理 信任 ， 但 密 钥 更 换 不 灵活 ; PKI 
是 依靠 第 三 方 的 管理 模式 ， 只 能 提供 一 级 以 下 推理 信任 ， 但 密 钥 更 换 非常 灵活 。KMI 适用 于 保 
密 网 和 专用 网 ， PKI 适用 于 安全 责任 完全 由 个 人 或 单方 面 承 担 ， 安 全 风险 不 涉及 他 方 利益 的 
场合 。 

从 实际 应 用 方面 看 ， 因 特 网 中 的 专用 网 主要 处 理 内 部 事务 ， 同 时 要 求 与 外 界 联系 。 因 此 ， 
KMI 主 内 、PKI 主 外 的 密 钥 管理 结构 是 比较 合理 的 。 如 果 一 个 专用 网 是 与 外 部 没有 联系 的 封闭 
网 ,那么 仅 有 KMI 就 已 足够 。 如 果 一 个 专用 网 可 以 与 外 部 联系 ,那么 要 同时 具备 两 种 密 钥 管理 
体制 ， 至 少 KMI 要 支持 PKI。 如 果 是 开放 网 业务 ， 则 完全 可 以 用 PKI 技术 处 理 。 


8.8 虚拟 专用 网 


8.8.1 虚拟 专用 网 的 工作 原理 


所 谓 虚 拟 专用 网 (Virtual Private Network，VPN)， 就 是 建立 在 公用 网 上 的 、 由 某 一 组 织 或 
某 一 群 用 户 专用 的 通信 网 络 ， 其 虚拟 性 表现 在 任意 一 对 VPN 用 户 之 间 没 有 专用 的 物理 连接 ， 
而 是 通过 ISP 提供 的 公用 网 络 来 实现 通信 ， 其 专用 性 表现 在 VPN 之 外 的 用 户 无 法 访问 VPN 内 
部 的 网 络 资源 , VPN 内 部 用 户 之 间 可 以 实现 安全 通信 。 这 里 讲 的 VPN 是 指 在 Intemet 上 建立 的 、 
由 用 户 《 组 织 或 个 人 ) 自行 管理 的 VPN， 而 不 涉及 一 般 电信 网 中 的 VPN。 后 者 一 般 是 指 X.25、 
帧 中 继 或 ATM 虚拟 专用 线路 。 

Intemet 本 质 上 是 一 个 开放 的 网 络 ， 没 有 任何 安全 措施 可 言 。 随 着 Intemet 应 用 的 扩展 ， 很 
多 要 求 安全 和 保密 的 业务 需要 通过 Internet 实现 ， 这 一 需求 促进 了 VPN 技术 的 发 展 。 各 个 国际 
组 织 和 企业 都 在 研究 和 开发 VPN 的 理论 、 技 术 、 协 议 、 系 统 和 服务 。 在 实际 应 用 中 要 根据 具体 
情况 选用 适当 的 VPN 技术 。 

实现 VPN 的 关键 技术 主要 有 以 下 几 种 。 

(1) 隧道 技术 (Tunneling)。 隧 道 技 术 是 一 种 通过 使 用 因特网 基础 设施 在 网 络 之 间 传 递 数 
据 的 方式 。 隧 道 协议 将 其 他 协议 的 数据 包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信 
息 ， 从 而 使 封装 的 负载 数据 能 够 通过 因特网 传递 。 在 Internet 上 建立 隧道 可 以 在 不 同 的 协议 层 实 
现 ， 例 如 数据 链 路 层 、 网 络 层 或 传输 层 ， 这 是 VPN 特有 的 技术 。 

(2) 加 解密 技术 (Encryption & Decryption)。VPN 可 以 利用 已 有 的 加 解密 技术 实现 保密 通 
言 ， 保 证 公司 业务 和 个 人 通信 的 安全 。 

(3) 密 钥 管理 技术 (Key Management)。 建 立 隧道 和 保密 通信 都 需要 密 钥 管 理 技术 的 支撑 ， 
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密 钥 管理 负责 密 钥 的 生成 、 分 发 、 控 制 和 跟踪 ， 以 及 验证 密 钥 的 真实 性 等 。 

(4) 身份 认证 技术 (Authentication)。 加 入 VPN 的 用 户 都 要 通过 身份 认证 ， 通 常 使 用 用 户 
名 和 密码 ， 或 者 智能 卡 来 实现 用 户 的 身份 认证 。 

VPN 的 解决 方案 有 以 下 3 种 ， 可 以 根据 具体 情况 选择 使 用 。 

(1) 内 联网 VPN (Intranet VPN)。 企 业内 部 虚拟 专用 网 也 叫 内 联网 VPN， 用 于 实现 企业 内 
部 各 个 LAN 之 间 的 安全 互联 。 传统 的 LAN 互联 采用 租用 专线 的 方式 , 这 种 实现 方式 费用 昂贵 ， 
只 有 大 型 企业 才能 负担 得 起 。 如 果 企 业内 部 各 分 支 机 构 之 间 要 实现 互联 ， 可 以 在 Intemet 上 组 
建 世界 范围 内 的 Intranet VPN， 利 用 Internet 的 通信 线路 保证 网 络 的 互联 互通 ， 利 用 隧道 、 加 密 
和 认证 等 技术 保证 信息 在 Intranet 内 安全 传输 ， 如 图 8-14 所 示 。 





分 支 机构 分 支 机构 


图 8-14 Intranet VPN 


(2) 外 联网 VPN (Extranet VPN)。 企 业 外 部 虚拟 专用 网 也 叫 外 联网 VPN， 用 于 实现 企业 
与 客户 、 供 应 商 和 其 他 相关 团体 之 间 的 互联 互通 。 当 然 ， 客 户 也 可 以 通过 Web 访问 企业 的 客户 
资源 , 但 是 外 联网 VPN 方式 可 以 方便 地 提供 接 入 控制 和 身份 认证 机 制 , 动态 地 提供 公司 业务 和 
数据 的 访问 权限 。 一 般 来 说 ， 如 果 公 司 提 供 B2B 之 间 的 安全 访问 服务 ， 则 可 以 考虑 与 相关 企业 
建立 Extranet VPN 连接 ， 如 图 8-15 所 示 。 

(3) 远程 接 入 VPN (Access VPN)。 解 决 远程 用 户 访问 企业 内 部 网 络 的 传统 方法 是 采用 长 
途 拨号 方式 接 入 企业 的 网 络 访 问 服务 器 (NAS)。 这 种 访问 方式 的 缺点 是 通信 成 本 高 ， 必 须 支 
付 价 格 不 菲 的 长 途 电话 费 ， 而 且 NAS 和 调制 解 调 器 的 设备 费用 以 及 租用 接 入 线路 的 费用 也 是 
一 笔 很 大 的 开销 。 采 用 远程 接 入 VPN 就 可 以 省 去 这 些 费 用 。 如 果 企业 内 部 人 员 有 移动 或 远程 办 
公 的 需要 ， 或 者 商家 要 提供 B2C 的 安全 访问 服务 ， 可 以 采用 Access VPN。 

Access VPN 通过 一 个 拥有 与 专用 网 络 相同 策略 的 共享 基础 设施 提供 对 企业 内 部 网 或 外 部 
网 的 远程 访问 。Access VPN 能 使 用 户 随时 随地 以 其 所 需 的 方式 访问 企业 内 部 的 网 络 资源 ， 最 适 
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用 于 公司 内 部 经 常 有 流动 人 员 远程 办 公 的 情况 .出差 员工 利用 当地 ISP 提供 的 VPN 服务 就 可 以 
和 公司 的 VPN 网 关 建 立 私 有 的 隧道 连接 ， 如 图 8-16 所 示 。 








公司 总 部 





图 8-16 Access VPN 


8.8.2 ”第 一 层 隧道 协议 


虚拟 专用 网 可 以 通过 第 二 层 隧 道 协议 实现 ， 这 些 隧道 协议 〈 例 如 PPTP 和 L2TP) 都 是 把 数 
据 封 装 在 点 对 点 协议 (PPP) 的 帧 中 在 因特网 上 传输 的 ， 创 建 隧 道 的 过 程 类 似 于 在 通信 双方 之 
间 建 立会 话 的 过 程 ， 需 要 就 地 址 分 配 ， 经 加 密 、 认 证 和 压缩 参数 等 进行 协商 ， 隧 道 建立 后 才能 
进行 数据 传输 。 下 面 介 绍 PPP 协议 和 常用 的 第 二 层 隧道 协议 。 

1. PPP 协议 


PPP 协议 (Point-to-Point Protocol) 可 以 在 点 对 点 链 路 上 传输 多 种 上 层 协议 的 数据 包 。PPP 
是 数据 链 路 层 协 议 ， 最 早 是 替代 SLIP 协议 用 来 在 同步 链 路 上 封装 四 数据 报 的 ， 后 来 也 可 以 承 
载 诸如 DECnet、Novell IPX、Apple Talk 等 协议 的 分 组 。PPP 是 一 组 协议 ， 包 含 下 列 成 分 。 

(1) 封装 协议 。 用 于 包装 各 种 上 层 协 议 的 数据 报 。PPP 封装 协议 提供 了 在 同一 链 路 上 传输 
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各 种 网 络 层 协议 的 多 路 复 用 功能 ， 也 能 与 各 种 常见 的 支持 硬件 保持 兼容 。 封 装 协议 的 格式 如 图 
8-17 所 示 。 





地 址 (FF) | 控制 (03) CRC 帧 标志 (7E) 











协议 | 数据 (< 1500 字 节 ) 








| 帧 标志 (7E) 








1 1 1 2 2 1 
帧 标志 : 与 HDLC 相同 ， 以 字符 01111110 表示 帧 的 开始 和 结束 ; 
地 址 字段 : 内 容 为 广播 地 址 11111111 ; 
控制 字段 : 其 值 为 00000011 ; 
协议 字段 : 表示 数据 字段 封装 的 网 络 层 协议 ，0x0021 代表 卫 数据 报 ，0xC021 代表 LCP 数据 ，0x8021 代表 NCP 
数据 ; 
数据 字段 : 包含 封装 的 数据 包 ， 长 度 为 0~1 500 字 节 ; 
CRC 字段 : 16 位 循环 元 余 校 验 码 ， 检 测 传输 中 出 现 的 差错 ， 也 可 以 选择 32 位 CRC 校 验 。 
图 8-17 PPP 的 帧 
(2) 链 路 控制 协议 〈Link Control Protocol，LCP) 。 通 过 以 下 三 类 LCP 分 组 来 建立 、 配 置 
和 管理 数据 链 路 连接 。 
。 链 路 配置 分 组 。 用 于 建立 和 配置 链 路 ， 包 括 Configure-Request、Configure-Ack、 
Configure-Nak 和 Configure-Reject 这 4 种 分 组 。 
。 ” 链 路 终结 分 组 。 用 于 终止 链 路 ， 包 括 Terminate-Request 和 Terminate-Ack 两 种 分 组 。 
。 ” 链 路 维护 分 组 ,用 于 链 路 管理 和 排 错 , 包括 Code-Reject、 Protocol-Reject、Echo-Request、 
Echo-Reply 和 Discard-Request 这 5 种 分 组 。 
(3) 网 络 控制 协议 。 在 PPP 的 链 路 建立 过 程 中 的 最 后 阶段 将 选择 承载 的 网 络 层 协议 ， 例 如 
卫 、IPX 或 AppleTalk 等 .PPP 只 传送 选 定 的 网 络 层 分 组 , 任何 没有 入 选 的 网 络 层 分 组 将 被 丢弃 。 
PPP 拨号 过 程 可 以 分 成 以 下 3 个 阶段 (如 图 8-18 所 示 )。 


UP > OPENED ye 

死记 | 让 vV | 认证 
FAIL FAIL 

DOWN CLOSING | SUCCESS/NONE 

科目 网 络 一 一 一 一 一 一 


图 8-18 PPP 的 会 话 过 程 




































































(1) 链 路 建立 。PPP 通过 链 路 控制 协议 建立 、 维 护 或 终止 逻辑 连接 。 在 这 个 阶段 ， 将 对 通 
信和 方式 (数据 压缩 、 加 密 以 及 认证 协议 的 参数 等 进行 协商 。 

(2) 用 户 认证 。 在 这 个 阶段 ， 客 户 端 将 自己 的 身份 证 明 发 送 给 网 络 接 入 服务 器 进行 身份 认 
证 。 如 果 认 证 失败 ， 连 接 被 终止 。 在 这 一 阶段 ， 只 传送 链 路 控制 协议 、 认 证 协议 和 链 路 质量 监 
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视 协 议 的 分 组 ， 其 他 分 组 均 被 丢弃 。 最 常用 的 认证 协议 有 PAP 和 CHAP 两 种 。 

. 令 认 证 协议 (Password Authentication Protocol，PAP)。 这 是 一 种 简单 的 明文 认证 方 
式 。 用 户 向 NAS 提供 用 户 名 和 口令 ， 如 果 认 证 成 功 ，NAS 向 用 户 返 回应 答 信息 。 这 
个 过 程 可 能 重复 多 次 才能 完成 。 显 然 ， 这 种 认证 方式 是 不 安全 的 。 
e ”挑战 一 握手 验证 协议 (Challenge Handshake Authentication Protocol，CHAP)。 这 是 一 
种 3 次 握手 认证 协议 ， 并 不 传送 用 户 密码 ， 而 是 传送 由 用 户 密 码 生 成 的 散 列 值 。 首 先 
由 NAS 向 远 端 用 户 发 送 一 个 挑战 口令 ,其 中 包括 会 话 ID 和 一 个 任意 的 挑战 字 串 (用 
于 防止 重 放 攻 击 )。 客 户 端 返回 经 过 MD5 加 密 的 会 话 也 、 挑 战 字符 串 和 用 户口 令 ， 
用 户 名 则 以 明文 方式 发 送 ， 如 图 8-19 所 示 。NAS 根据 认证 服务 器 中 的 数据 对 收集 到 
的 用 户 数据 进行 有 效 性 验证 ， 如 果 认 证 成 功 ， NAS 返回 肯定 应 答 ， 连 接 建 立 ， 如 果 
认证 失败 ， 连 接 终止 。 在 后 续 的 数据 传送 阶段 ， 还 可 能 随机 地 进行 多 次 认证 ， 以 减少 
被 攻击 的 时 间 。 虽 然 这 种 认证 只 是 由 服务 器 端 对 客户 端的 单 向 认证 ， 但 是 也 可 以 应 用 
在 双向 认证 中 。 


客户 端 认证 服务 器 
ee 


Challenge= 会 话 ID ， 挑 战 字符 串 
Response 二 MD5( 会 话 [D, 挑 战 字符 串 , 用 户 Password)， 用 户 名 









































图 8-19 CHAP 认证 过 程 


(3) 调用 网 络 层 协 议 。 认 证 阶段 完成 之 后 ，PPP 将 调用 在 链 路 建立 阶段 选 定 的 网 络 控制 协 
议 。 例 如 ， 如 果 选 定 正 控制 协议 (了 PCP) ， 可 以 向 拨 入 用 户 分 配 动态 瑟 地 址 并 就 下 头 的 压缩 
进行 协商 。 这 样 ， 经 过 3 个 阶段 以 后 ， 一 条 完整 的 PPP 链 路 就 建立 起 来 了 。 

一 旦 完成 上 述 3 个 阶段 ，PPP 就 开始 在 连接 双方 之 间 转 发 数据 ， 每 个 被 传送 的 数据 报 都 被 
封装 在 PPP 包头 内 。 如 果 在 阶段 一 选择 了 数据 压缩 , 数据 将 会 在 被 传送 之 前 进行 压缩 。 类 似 的 ， 
如 果 已 经 选择 使 用 数据 加 密 ， 数 据 将 会 在 传送 之 前 进行 加 密 。 


2. 点 对 点 隧道 协议 (PPTP) 


PPTP (Point-to-Point Tunneling Protocol) 是 由 Microsoft、Ascend、3Com 和 ECI 等 公司 组 
成 的 PPTP 论坛 在 1996 年 定义 的 第 2 层 隧道 协议 。PPTP 定义 了 由 PAC 和 PNS 组 成 的 客户 端 / 
服务 器 结构 ， 从 而 把 NAS 的 功能 分 解 给 这 两 个 逻辑 设备 ， 以 支持 虚拟 专用 网 。 传 统 网 络 接 入 
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服务 器 (NAS) 根据 用 户 的 需要 提供 PSTN 或 ISDN 的 点 对 点 拨号 接 入 服务 ， 它 具有 下 列 功能 。 

(1) 通过 本 地 物理 接口 连接 PSTN 或 ISDN， 控 制 外 部 Modem 或 终端 适配器 的 拨号 操作 。 

(2) 作为 PPP 链 路 控制 协议 的 会 话 终端 。 

(3) 参与 PPP 认证 过 程 。 

(4) 对 多 个 PPP 信道 进行 集中 管理 。 

(5) 作为 PPP 网 络 控制 协议 的 会 话 终端 。 

(6) 在 各 接口 之 间 进 行 多 协议 的 路 由 和 桥接 。 

PPTP 论坛 定义 了 以 下 两 种 逻辑 设备 。 

。 ”PPTP 接 入 集中 器 (PPTP Access Concentrator，PAC)。 可 以 连接 一 条 或 多 条 PSTN 或 

ISDN 拨号 线路 ， 能 够 进行 PPP 操作 ， 并 且 能 处 理 PPTP 协议 。PAC 可 以 与 一 个 或 多 
个 PNS 实现 TCP/IP 通信 ， 或 者 通过 隧道 传送 其 他 协议 的 数据 。 

。 ”PPTP 网 络 服务 器 (PPTP Network Server，PNS)。 建 立 在 通用 服务 器 平台 上 的 PPTP 

服务 器 ， 运 行 TCP/IP 协议 ， 可 以 使 用 任何 LAN 和 WAN 接口 硬件 实现 。 

PAC 是 负责 接 入 的 客户 端 设备 ， 必 须 实现 NAS 的 (1)、(2) 两 项 功能 ， 也 可 能 实现 第 (3) 
项 功能 ，PNS 是 ISP 提供 的 接 入 服务 器 ， 可 以 实现 NAS 的 第 (3) 项 功能 ， 但 必须 实现 〈4)、 
(5)、(6) 项 功能 ， 而 PPTP 则 是 在 PAC 和 PNS 之 间 对 拨 入 的 电路 交换 呼叫 进行 控制 和 管理 ， 
并 传送 PPP 数据 的 协议 。 

PPTP 协议 只 是 在 PAC 和 PNS 之 间 实 现 ， 与 其 他 任何 设备 无 关 ， 连 接 到 PAC 的 拨号 网 络 
也 与 PPTP 无 关 ， 标 准 的 PPP 客户 端 软件 仍然 可 以 在 PPP 链 路 上 进行 操作 。 

在 一 对 PAC 和 PNS 之 间 必 须 建 立 两 条 并 行 的 PPTP 连接 ， 一 条 是 运行 在 TCP 协议 上 的 控 
制 连接 , 一 条 是 传输 PPP 协议 数据 单元 的 下 隧道 ,控制 连接 可 以 由 PNS 或 PAC 发 起 建立 , PNS 
和 PAC 在 建立 TCP 连接 之 后 就 通过 Start-Control-Connection-Request 和 Start-Control- 
Connection-Reply 报 文 来 建立 控制 连接 ,这 些 报 文 也 用 来 交换 有 关 PAC 和 PNS 操作 能 力 的 数据 。 
控制 连接 的 管理 、 维 护 和 释放 也 是 通过 交换 类 似 的 控制 报 文 实现 的 。 

控制 连接 必须 在 PPP 隧道 之 前 建立 。 在 每 一 对 PAC-PNS 之 间 ， 隧 道 连接 和 控制 连接 同时 
存在 。 控 制 连接 的 功能 是 建立 、 管 理 和 释放 PPP 隧道 ， 同 时 控制 连接 也 是 PAC 和 PNS 之 间 交 
换 呼叫 信息 的 通路 。 

PPP 分 组 必须 先 经 过 GRE 封装 后 才能 在 PAC-PNS 之 间 的 隧道 中 传送 。GRE (Generic 
Routing Encapsulation) 是 在 一 种 网 络 层 协议 上 封装 另外 一 种 网 络 层 协议 的 协议 。GRE 封装 的 协 
议 经 过 了 加 密 处 理 ， 所 以 VPN 之 外 的 设备 无 法 探测 其 中 的 内 容 。 对 PPP 分 组 封装 和 传送 的 过 
程 如 图 8-20 所 示 ,， 其 中 的 RRAS 相当 于 PAC 或 PNS,，PPP 桩 是 经 过 加 密 的 PPP 头 。 可 以 看 出 ， 
负载 数据 在 本 地 和 远程 LAN 中 都 是 通过 他 协议 明文 传送 的 ,只 有 在 VPN 中 进行 了 加 密 和 封装 。 
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VPN 3 
本 地 客户 本 = i 远程 客户 












































| 了 | Internet | IP | 
lL 1 1 1 
帧 头 帧 头 帧 头 
IP 头 IP 头 IP 头 
负载 GRE 头 负载 
PPP 桩 
负载 (加 密 ) 


注 : RRAS 的 全 称 是 Routing and Remote Access Server 


图 8-20 ”GRE 封装 和 隧道 传送 


PPTP 协议 的 分 组 头 结构 如 图 8-21 所 示 。 


PPTP 报 文 类 型 
拉 制 扫 文 类 型 


固件 版 本 
制造 商 (64 字 节 ) 


长 度 : PPTP 报 文 的 字 节 数 。 

PPTP 报 文 类 型 : 1. 控制 信息 ; 2. 管理 信息 。 

Magic Cookie : Magic Cookie 以 连续 的 0x1A2B3C4D 发 送 ， 基 本 目的 是 确保 接收 端 与 TCP 数据 流 间 的 同步 运行 。 
控制 报 文 类 型 : 可 能 的 值 如 下 。 

。 Start-Control-Connection-Request; 

Start-Control-Connection-Reply ; 

Stop-Control-Connection-Request ; 

Stop-Control-Connection-Reply ; 

Echo-Request ; 

Echo-Reply 。 

协议 版 本 : PPTP 版 本 号 。 

组 帧 能 力 : 指出 帧 类 型 ， 由 发 送 方 提供 。1. 异步 帧 支持 ; 2. 同步 帧 支持 。 

承载 能 力 : 指出 承载 性 能 ， 由 发 送 方 提供 。1. 模拟 接 入 支持 ; 2. 数字 接 入 支持 。 

最 大 信道 数 : PAC 支持 的 PPP 会 话 总 数 。 

固件 版 本 : 车 由 PAC 发 出 ， 则 表示 PAC 的 固件 修订 本 编号 ; 车 由 PNS 发 出 ， 则 包括 PNS 的 PPTP 驱动 版 本 号 。 
主机 名 : PAC 或 PNS 的 域名 。 

制造 商 : 供应 商 的 字符 串 。 








图 8-21 PPTP 分 组 头 格式 
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3. 第 2 层 隧道 协议 


第 2 层 隧道 协议 (Layer 2 Tunneling Protocol, L2TP) 用 于 把 各 种 拨号 服务 集成 到 ISP 的 服 
务 提供 点 。PPP 定义 了 一 种 封装 机 制 ， 可 以 在 点 对 点 链 路 上 传输 多 种 协议 的 分 组 。 通 常 ， 用 户 
利用 各 种 拨号 方式 (例如 POTS、ISDN 或 ADSL) 接 入 NAS， 然 后 通过 第 二 层 连 接 运行 PPP 
协议 。 这 样 ， 第 二 层 连接 端点 和 PPP 会 话 端点 都 在 同一 个 NAS 设备 中 。 

L2TP 扩展 了 PPP 模型 ， 允 许 第 二 层 连接 端点 和 PPP 会 话 端 点 驻 在 由 分 组 交换 网 连接 的 不 
同 设备 中 。 在 L2TP 模型 中 ,用 户 通过 第 二 层 连 接 访问 集中 器 〈 例 如 Modem、ADSL 等 设备 ) ， 
而 集中 器 则 把 PPP 帧 通过 隧道 传送 给 NAS， 这 样 就 可 以 把 PPP 分 组 的 处 理 与 第 二 层 端点 的 功 
能 分 离开 来 。 这 样 做 的 好 处 是 NAS 不 再 具有 第 二 层 端点 的 功能 ， 第 二 层 连接 在 本 地 集中 器 终 
止 ， 从 而 把 迪 辑 的 PPP 会 话 扩展 到 了 帧 中 继 或 mntemet 这 样 的 公共 网 络 上 。 从 用 户 的 观点 看 ， 
使 用 L2TP 与 通过 第 二 层 接 入 NAS 并 没有 区 别 。 

L2TP 报 文 分 为 控制 报 文 和 数据 报 文 。 控 制 报 文 用 于 建立 、 维 护 和 释放 隧道 和 呼叫 ， 数 据 
报 文 用 于 封装 PPP 帧 ， 以 便 在 隧道 中 传送 。 控 制 报 文 使 用 了 可 靠 的 控制 信道 以 保证 提交 ， 数 据 
报 文 被 丢失 后 不 再 重 传 。L2TP 的 分 组 头 结构 如 图 8-22 所 示 。 
[TIrlxlx[ls[xlolplxlx [x| x [ve [|  t# 度 | 
: 指示 报 文 的 类 型 。0 表示 数据 报 文 ，1 表示 控制 报 文 。 

置 1 时 表示 长 度 字段 出 现 ， 控 制 报 文 必须 有 长 度 字段 。 
保留 不 用 ， 全 部 置 0。 

置 1 时 表示 Nr 和 Ns 字段 出 现 ， 对 于 控制 报 文 ，S 必须 置 1。 
置 1 时 表示 Offset size 字段 出 现 ， 对 于 控制 报 文 ，O 必须 置 0。 
P: 表示 优先 级 ， 如 果 置 1， 该 数据 报 文 被 优先 处 理 和 发 送 。 
Ver: 这 一 位 的 值 为 002， 指 示 L2TP 的 版 本 号 。 

长 度 : 报 文 的 总 长 度 。 

隧道 ID : 标识 不 同 的 隧道 。 

会 话 ID : 标识 不 同 的 用 户 会 话 。 

Nr: 接收 顺序 号 。 

Ns : 发 送 顺序 号 。 

Offset size & pad : 附加 位 用 于 确定 L2TP 分 组 头 的 边界 。 


图 8-22 L2TP 分 组 头 


在 全 网 上 使 用 UDP 和 一 系列 的 L2TP 消息 对 隧道 进行 维护 ， 同 时 使 用 UDP 将 L2TP 封装 
的 PPP 帧 通过 隧道 发 送 ， 可 以 对 封装 的 PPP 帧 中 的 负载 数据 进行 加 密 或 压缩 。 图 8-23 所 示 为 








-i 可 
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在 传输 之 前 组 装 一 个 L2TP 数据 包 。 





IP UDP IL2TP | PPP( 数 据 ) | 











传输 协议 封装 协议 承载 协议 
图 8-23 L2TP 数据 包 在 卫 网 中 的 封装 


4. PPTP 与 L2TP 的 比较 


PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ， 然 后 添加 附加 包头 用 于 数据 在 互联 网 络 
上 的 传输 。 尽 管 两 个 协议 非常 相似 ， 但 是 仍 存在 以 下 几 方 面 的 区 别 。 

(1) PPTP 要 求 因特网 络 为 人 P 网 络 ，L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 连接 。 
L2TP 可 以 在 瑟 〈 使 用 UDP)、 帧 中 继 永 久 虚拟 电路 (PVCs))、X.25 虚 电 路 (VCs) 或 AIM 网 
络 上 使 用 。 

(2)PPTP 只 能 在 两 端点 间 建 立 单一 隧道 , L2TP 支持 在 两 端点 间 使 用 多 个 隧道 。 使 用 L2TP， 
用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

(3) L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ， 系 统 开销 占用 4 个 字 节 ， 而 在 PPTP 协议 下 
要 占用 6 个 字 节 。 

(4) L2TP 可 以 提供 隧道 验证 ， 而 PPTP 不 支持 隧道 验证 ,。 但 是 ， 当 L2TP 或 PPTP 与 PSec 
共同 使 用 时 ， 可 以 由 卫 Sec 提供 隧道 验证 ， 不 需要 在 第 2 层 协议 上 验证 隧道 。 


8.8.3 IPSec 


IPSec (IP Security) 是 IETF 定义 的 一 组 协议 ， 用 于 增强 人 P 网 络 的 安全 性 。IPSec 协议 集 
提供 了 下 面 的 安全 服务 。 
。 ”数据 完整 性 (Data Integrity)。 保 持 数据 的 一 致 性 ， 防 止 未 授权 地 生成 、 修 改 或 删除 


数据 。 

。 认证 〈Authentication)。 保 证 接收 的 数据 与 发 送 的 相同 ， 保 证 实际 发 送 者 就 是 声称 的 
发 送 者 。 

。 保密 性 〈Confidentiality)。 传 输 的 数据 是 经 过 加 密 的 ， 只 有 预定 的 接收 者 知道 发 送 的 
内 容 。 


。 ”应 用 透明 的 安全 性 (Application-transparent Security)。 IPSec 的 安全 头 插入 在 标准 的 卫 
头 和 上 层 协 议 (例如 TCP) 之 间 , 任何 网 络 服务 和 网 络 应 用 都 可 以 不 经 修改 地 从 标准 
四 转向 下 Sec， 同 时 ，IPSec 通信 也 可 以 透明 地 通过 现 有 的 人 * 路 由 器 。 
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IPSec 的 功能 可 以 划分 为 下 面 3 类 。 

。 认证 头 (Authentication Header，AH) : 用 于 数据 完整 性 认证 和 数据 源 认 证 。 

。 ”封装 安全 负荷 (Encapsulating Security Payload，ESP) : 提供 数据 保密 性 和 数据 完整 
性 认证 ，ESP 也 包括 了 防止 重 放 攻击 的 顺序 号 。 

。 ”Intermet 密 钥 交换 协议 (Internet Key Exchange，IKE) : 用 于 生成 和 分 发 在 ESP 和 AH 
中 使 用 的 密 铀 ， 下 E 也 对 远程 系统 进行 初始 认证 。 


1. 认证 头 


IPSec 认证 头 提供 了 数据 完整 性 和 数据 源 认 证 , 但 是 不 提供 保密 服务 。 AH 包含 了 对 称 密 钥 
的 散 列 函数 ， 使 得 第 三 方 无 法 修改 传输 中 的 数据 。IPSec 支持 下 面 的 认证 算法 。 

。 HMAC-SHA!l1 (Hashed Message Authentication Code-Secure Hash Algorithm 1): 128 位 

密 钥 。 

。 HMAC-MD5 (HMAC-Message Digest 5): 160 位 密 钥 。 

IPSec 有 两 种 模式 ， 传输 模式 和 隧道 模式 。 在 传输 模式 中 ，IPSec 认证 头 插入 原来 的 他 头 
之 后 (如 图 8-24 所 示 ), 了 P 数据 和 下头 用 来 计算 AH 认证 值 。 IP 头 中 的 变化 字段 (例如 跳 步 计 
数 和 TIL 字段 〉 在 计算 之 前 置 为 0， 所 以 变化 字段 实际 上 并 没有 被 认证 。 





AH 前 原来 的 IP 头 TCP 数据 














AH 后 的 IPv4 传 输 模式 原来 的 IP 头 AH | TCP 数据 | 





图 8-24 ”传输 模式 的 认证 头 


在 隧道 模式 中 ，IPSec 用 新 的 下 头 封装 了 原来 的 下 数据 报 〈 包 括 原来 的 瑟 头 )， 原 来 下 
数据 报 的 所 有 字段 都 经 过 了 认证 ， 如 图 8-25 所 示 。 








新 的 IP 头 AH 原来 的 IP 头 | TCP | 数据 














图 8-25 ”隧道 模式 的 认证 头 


2. 封装 安全 负荷 


IPSec 封装 安全 负荷 提供 了 数据 加 密 功 能 。 ESP 利用 对 称 密 钥 对 中 数据 (例如 TCP 包 ) 进 
行 加 密 ， 支 持 的 加 密 算法 如 下 。 
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(1) DES-CBC (Data Encryption Standard Cipher Block Chaining Mode): 56 位 密 钥 。 
(2) 3DES-CBC (三 重 DES CBC): 56 位 密 钥 。 

(3) AES128-CBC (Advanced Encryption Standard CBC): 128 位 密 钥 。 

在 传输 模式 ，IP 头 没有 加 密 ， 只 对 外 数据 进行 了 加 密 ， 如 图 8-26 所 示 。 





ESP 前 原来 的 IP 头 TCP 数据 

















ESP 后 的 IPv4 传 输 模 式 原来 的 IP 头 ESP 头 | TCP 数据 ESP 尾 





图 8-26 ”传输 模式 的 ESP 





在 隧道 模式 ，IPSec 对 原来 的 卫 数据 报 进行 了 封装 和 加 密 ， 加 上 了 新 的 下头 ， 如 图 8-27 
所 示 。 如 果 ESP 用 在 网 关中 ， 外 层 的 未 加 密 下 头 包含 网 关 的 中 地 址 ,而 内 层 加 密 了 的 于 头 包 
含 真实 的 源 和 目标 地 址 ， 这 样 可 以 防止 偷 听 者 分 析 源 和 目标 之 间 的 通信 和 量 。 








新 的 IP 头 








espy | 原来 的 IP 头 | TCP | 数据 | spe 











图 8-27 ”隧道 模式 的 ESP 


3. 带 认证 的 封装 安全 负荷 


ESP 加 密 算法 本 身 没有 提供 认证 功能 ,不 能 保证 数据 的 完整 性 。 但 是 带 认 证 的 ESP 可 以 提 
供 数据 完整 性 服务 ， 有 以 下 两 种 方法 可 提供 认证 功能 。 

(1) 带 认证 的 ESP。IPSec 使 用 第 一 个 对 称 密 钥 对 负荷 进行 加 密 ， 然 后 使 用 第 二 个 对 称 密 
钥 对 经 过 加 密 的 数据 计算 认证 值 ， 并 将 其 附加 在 分 组 之 后 ， 如 图 8-28 所 示 。 





传输 模式 原来 的 IP 头 

















隧道 模式 新 的 IP 头 ESP 头 | 原来 的 IP 头 | TCP 数据 | ESP 尾 | ESP 认 证 


























加 密 
认证 
图 8-28 ” 带 认证 的 ESP 
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(2) 在 AH 中 嵌 套 ESP。ESP 分 组 可 以 嵌 套 在 AH 分 组 中 ， 例 如 一 个 3DES-CBC ESP 分 组 
可 以 身 套 在 HMAC-MD5 分 组 中 ， 如 图 8-29 所 示 。 








新 的 IP 头 ESP 头 原来 的 IP | TCP | 数据 | gsp ESP 认 证 

















加 密 
认证 
图 8-29 在 AH 中 赃 套 ESP 











4， Internet 密 钥 交换 协议 


IPSec 传送 认证 或 加 密 的 数据 之 前 ， 必 须 就 协议 、 加 密 算法 和 使 用 的 密 钥 进行 协商 。 密 钥 
交换 协议 提供 这 个 功能 ， 并 且 在 密 钥 交 换 之 前 还 要 对 远程 系统 进行 初始 的 认证 。IKE 实际 上 是 
ISAKMP (Internet Security Association and Key Management Protocol) 、Oakley 和 SKEME 
(Versatile Secure Key Exchange Mechanism for Intermet Protocol) 这 3 个 协议 的 混合 体 。ISAKMP 
提供 了 认证 和 密 钥 交换 的 框架 ， 但 是 没有 给 出 具体 的 定义 ，Oakley 描述 了 密 钥 交 换 的 模式 ， 而 

在 密 钥 交换 之 前 要 先 建 立 安全 关联 (Security Association，SA) 。SA 是 由 一 系列 参数 〈 例 
如 加 密 算 法 、 密 钥 和 生命 期 等 ) 定义 的 安全 信道 。 在 ISAKMP 中 ， 通 过 两 个 协商 阶段 来 建立 
SA， 这 种 方法 被 称 为 Oakley 模式 。 建 立 SA 的 过 程 如 下 。 

1) ISAKMP 第 一 阶段 (Main Mode，MM) 

(1) 协商 和 建立 ISAKMP SA。 两 个 系统 根据 D-H 算法 生成 对 称 密 钥 ， 后 续 的 IKE 通信 都 
使 用 该 密 钥 加 密 。 

(2) 验证 远程 系统 的 标识 (初始 认证 )。 

2) ISAKMP 第 二 阶段 (Quick Mode，QMD) 

使 用 由 ISAKMP/MM SA 提供 的 安全 信道 协商 一 个 或 多 个 用 于 IPSec 通信 (AH 或 ESP) 的 
SA。 通常 在 第 二 阶段 至 少 要 建立 两 条 SA, 一 条 用 于 发 送 数据 , 一 条 用 于 接收 数据 , 如 图 8-30 所 示 。 







































































ISAKMP 阶 段 1 
IPSec IPSec 
ISAKMP 阶 段 2 
SA JP 通信 Sh 
IPSec/QM SA (IPSec AH/ESP) IPSec/QM SA 
节点 A 节点 B 


图 8-30 ”安全 关联 的 建立 
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8.8.4” 安 全套 接 层 


安全 套 接 层 (Secure Socket Layer，SSL) 是 Netscape 于 1994 年 开发 的 传输 层 安全 协议 ， 
用 于 实现 Web 安全 通信 。1996 年 发 布 的 SSL 3.0 协议 草案 已 经 成 为 一 个 事实 上 的 Web 安全 标 
准 。1999 年 , IETF 推出 了 传输 层 安 全 标准 (Transport Layer Security, TLS) [RFC2246], 对 SSL 
进行 了 改进 ， 希 望 成 为 正式 标准 。SSL/TLS 已 经 在 Netscape Navigator 和 Internet Explorer 中 得 
到 了 广泛 应 用 。 下 面 介 绍 SSL 3.0 的 主要 内 容 。 

SSL 的 基本 目标 是 实现 两 个 应 用 实体 之 间 安 全 可 靠 的 通信 。SSL 协议 分 为 两 层 ,底层 是 SSL 
记录 协议 ， 运 行 在 传输 层 协 议 TCP 之 上 ， 用 于 封装 各 种 上 层 协议 。 一 种 被 封装 的 上 层 协议 是 
SSL 握手 协议 , 由 服务 器 和 客户 端 用 来 进行 身份 认证 , 并 且 协 商 通 信 中 使 用 的 加 密 算法 和 密 钥 。 
SSL 协议 栈 如 图 8-31 所 示 。 




















应 用 层 
SSL 握手 协议 ”| SSL 改变 密码 协议 SSL 警告 协议 HTTP 
SSL 记录 协议 
TCP 
P 











图 8-31 SSL 协议 栈 


SSL 对 应 用 层 是 独立 的 , 这 是 它 的 优点 , 高 层 协议 都 可 以 透明 地 运行 在 SSL 协议 之 上 。SSL 
提供 的 安全 连接 具有 以 下 特性 。 

(1) 连接 是 保密 的 。 用 握手 协议 定义 了 对 称 密 钥 (例如 DES、RC4 等 ) 之 后 ， 所 有 通信 都 
被 加 密 传送 。 

(2) 对 等 实体 可 以 利用 对 称 密 钥 算 法 (例如 RSA、DSS 等 ) 相互 认证 。 

(3) 连接 是 可 靠 的 。 报 文 传输 期 间 利用 安全 散 列 函数 (例如 SHA、MDS5 等 ) 进行 数据 的 

SSL 和 IPSec 各 有 特点 。SSL VPN 与 IPSec VPN 一 样 ， 都 使 用 RSA 或 D-H 握手 协议 来 建 
立 秘密 隧道 。SSL 和 IPSec 都 使 用 了 预 加 密 、 数 据 完整 性 和 身份 认证 技术 ， 例 如 3-DES、128 
位 的 RC4、ASE、MD5 和 SHA-1 等 。 两 种 协议 的 区 别 是 ，IPSec VPN 是 在 网 络 层 建立 安全 隧 
道 ， 适 用 于 建立 固定 的 虚拟 专用 网 ， 而 SSL 的 安全 连接 是 通过 应 用 层 的 Web 连接 建立 的 ， 更 
适合 移动 用 户 远 程 访 问 公司 的 虚拟 专用 网 ， 原 因 如 下 。 
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(1) SSL 不 必 下 载 到 访问 公司 资源 的 设备 上 。 

(2) SSL 不 需要 端 用 户 进行 复杂 的 配置 。 

(3) 只 要 有 标准 的 Web 浏览 器 ， 就 可 以 利用 SSL 进行 安全 通信 。 

SSL/TLS 在 Web 安全 通信 中 被 称 为 HTTPS。SSL/TLS 也 可 以 用 在 其 他 非 Web 的 应 用 ( 例 
如 SMIP、LDAP、POP、IMAP 和 TELNET) 中 。 在 虚拟 专用 网 中 ，SSL 可 以 承载 TCP 通信 ， 
也 可 以 承载 UDP 通信 。 由 于 SSL 工作 在 传输 层 ， 所 以 SSL VPN 的 控制 更 加 灵活 ， 既 可 以 对 传 
输 层 进行 访问 控制 ， 也 可 以 对 应 用 层 进行 访问 控制 。 


1. 会 话 和 连接 状态 


SSL 会 话 有 不 同 的 状态 。SSL 握手 协议 负责 调整 客户 端 和 服务 器 的 会 话 状态 ， 使 其 能 够 协 
调 一 致 地 进行 操作 。 一 个 SSL 会 话 可 能 包含 多 个 安全 连接 ， 两 个 对 等 实体 之 间 可 以 同时 建立 多 
个 SSL 会 话 。 

SSL 会 话 状态 由 下 列 成 分 决定 : 会 话 标识 符 、 对 方 的 X.509 证 书 、 数 据 压缩 方法 列表 、 密 
人 码 列表 、 计 算 MAC 的 主 密 钥 ， 以 及 用 于 说 明 是 否 可 以 启动 另外 一 个 会 话 的 恢复 标识 。 

SSL 连接 状态 由 下 列 成 分 决定 : 服务 器 和 客户 端的 随机 数 序 列 、 服 务 器 /客户 端的 认证 密 钥 、 
服务 器 /客户 端的 加 /解密 密 钥 、 用 于 CBC 加 密 的 初始 化 矢量 (IV) ， 以 及 发 送 /接收 报 文 的 顺序 
号 等 。 

2. 记录 协议 


SSL 记录 层 首先 把 上 层 的 数据 划分 成 2* 字 节 的 段 , 然后 进行 无 损 压缩 ( 任 选 )、 计算 MAC 
并 且 进 行 加 密 ， 最 后 才 发 送出 去 。 

3. 改变 密码 协议 (change cipher spec protocol) 

这 个 协议 用 于 改变 安全 策略 。 改 变 密码 报 文 由 客户 端 或 服务 器 发 送 ， 用 于 通知 对 方 后 续 的 
记录 将 采用 新 的 密码 列表 。 

4. 警告 协议 

SSL 记录 层 对 当前 传输 中 的 错误 可 以 发 出 警告 ， 使 得 当前 的 会 话 失效 ， 避 免 再 产生 新 的 会 
话 。 和 警告 报 文 是 经 过 压缩 和 加 密 传送 的 ， 警 告 分 为 关闭 连接 警告 和 错误 警告 (包括 非 预期 的 报 
文 、MAC 出 错 、 解 压缩 失败 、 握 手 协商 失败 、 没 有 合法 的 证 书 、 证 书 损坏 、 不 支持 的 证 书 、 
帅 销 的 证 书 、 过 期 的 证 书 、 未 知 的 证 书 和 无 效 参 数 等 错误 ) 两 种 类 型 。 
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5. 握手 协议 


会 话 状态 的 密码 参数 是 在 SSL 握手 阶段 产生 的 。 当 SSL 客户 端 和 服务 器 开始 通信 时 ， 它 
们 将 就 协议 版 本 、 加 密 算 法 和 认证 方案 以 及 产生 共享 密 钥 的 公 钥 加 密 技术 进行 协商 ， 这 个 过 程 
可 以 描述 如 下 《〈 如 图 8-32 所 示 )。 



































客户 端 服务 器 
ClientHello 加 
ServerHello 
Certificate* 
CertificateRequest* 
ServerKeyExchange* 
一 





Certificate* 
ClientKeyExchange 
Certificate Verify* 
changeciphersper 



































Finished a 
changeciphersper 
Finished 
Application Data Application Data 
表示 任 选项 











图 8-32 ”SSL 握手 协议 


(1) 客户 端 发 送 hello 报 文 ， 服 务 器 也 以 hello 报 文 回答 。 客 户 端 和 服务 器 在 这 两 个 报 文中 
对 协议 版 本 、 会 话 也 、 加 密 方案 和 压缩 方法 进行 协商 ， 另 外 还 产生 了 两 个 随机 数 (ClientHello. 
random 和 ServerHello.random ) 。 

(2) 服务 器 发 送 自己 的 数字 证 书 〈Certificate) 和 密 钥 交 换 报 文 (ServerKeyExchange)。 如 
果 要 对 客户 端 进行 身份 认证 ， 还 必须 请 求 客户 端 发 送 它 的 数字 证 书 (CertificateRequest)。 最 后 
服务 器 发 送 hello done 报 文 ， 表 示 结 束 这 个 会 话 阶段 。 

如 果 服 务 器 发 送 了 证 书 请 求 报 文 ， 客 户 端 要 以 自己 的 证 书 报 文 或 证 书 警 告 应 答 。 在 客户 端 
发 送 的 密 钥 交换 报 文 〈ClientKeyExchange) 中 ， 必 须根 据 hello 阶段 协商 的 结果 选择 公 钥 算法 。 
另外 ， 客 户 端 还 可 能 发 送 自己 证 书 的 签名 信息 〈CertificateVerify )。 

(3) 由 客户 端 发 送 改变 密码 〈change cipher spec) 报 文 ， 并 以 Finished 报 文 (包含 新 的 算 
法 、 密 码 列表 和 密 钥 ) 结束。 服务 器 的 响应 是 发 送 自 己 的 改变 密码 报 文 和 Finished (包含 新 的 
密码 列表 )， 这 样 握手 过 程 就 完成 了 。 
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6 密 钥 交 换算 法 


通信 中 使 用 的 加 密 和 认证 方案 是 由 密码 列表 (cipher_suite) 决定 的 ， 而 密码 列表 则 是 由 服 
务 器 通过 hello 报 文 进行 选择 的 。 

在 握手 协议 中 采用 非 对 称 算法 来 认证 对 方 和 生成 共享 密 钥 ， 有 RSA、Diffe-Hellman 和 
Fortezza 三 种 算法 可 以 选用 。 

在 使 用 RSA 进行 服务 器 认证 和 密 钥 交换 时 ， 由 客户 端 生成 48 字 节 的 前 主 密 钥 值 (pre_ 
master_seeret)， 用 服务 器 的 公 钥 加 密 后 发 送出 去 。 服 务 器 用 自己 的 私 钥 解 密 ,得 到 前 主 密 钥 值 ， 
然后 双方 都 把 前 主 密 钥 值 转换 成 主 密 钥 〈 用 于 认证 )， 并 删 去 原来 的 前 主 密 钥 值 。 

Diffie-Hellman 算法 如 图 8-33 所 示 ， 在 服务 器 的 数字 证 书 中 含有 参数 (p 和 g)， 协 商 的 秘 
密 值 大 作为 前 主 密 钥 值 ， 然 后 转换 成 主 密 钥 。 


有 两 个 通信 实体 Alice 和 Bob， P 是 一 个 很 大 的 素数 ，g 是 一 个 整数 〈 称 为 产生 基 )， 通 常 这 两 个 数 
Alice 和 Bob 都 知道 两 个 数 p 和 8g 在 网 络 上 是 公开 的 ， 由 所 有 用 户 共享 
Alce 的 秘密 值 -= 
Bob 的 秘密 值 = 
Alee 的 A 开 区 =x 
公 一 ob 
公 








Bob 计算 公开 值 y=g* modp Bob 的 公开 值 =y 
Alice 知道 了 p、g、a、x、y 
双方 交换 公开 值 
Bob 知道 了 p、g、b、x、y 
Ke modpy modp= (ey mod p= modp 
(er modp) mod p= (ey mod p=e* modp 


因为 g" =g”， 所 以 k=ko=k Alice 和 Bob 得 到 共享 秘密 值 k 








图 8-33 ”Diffe-Hellman 算法 





Fortezza 来 源 于 意大利 文 fortress， 是 “堡垒 ”或 “要 塞 ” 的 意思 。 这 是 美国 NSA 使 用 的 
一 种 安全 产品 ， 包 括 一 个 加 密 卡 和 护身符 软件 Talisman， 可 以 用 于 加 密 计 算 机 中 的 文件 。 当 前 
Fortezza 主要 用 于 加 密 电 子 邮 件 、 数字 蜂窝 电话 、Web 浏览 器 和 数据 库 等 Microsoft 的 Windows 
2000 浏览 器 和 IS 都 支持 Fortezza 加 密 。 

在 Fortezza 国防 报 文系 统 (Defense Message System，DMS) 中 ， 客 户 端 首先 使 用 服务 器 
证 书 中 的 公 钥 和 自己 令 牌 中 的 秘密 参数 计算 出 令 牌 加 密 密 钥 (Token Encryption Key，TEK)， 
然后 把 公开 参数 发 送 给 服务 器 ， 由 服务 器 根据 自己 的 私有 参数 生成 TEK。 最 后 客户 端 生 成 会 话 
密 钥 ， 并 用 TEK 包装 后 发 送 给 服务 器 。 
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8.9 应 用 层 安 全 协议 


8:.9.1 ‘SsHTTR 


安全 的 超 文本 传输 协议 (Secure HTTP，S-HTTP) 是 一 个 面向 报 文 的 安全 通信 协议 ， 是 
HTTP 协议 的 扩展 ， 其 设计 目的 是 保证 商业 贸易 信息 的 传输 安全 ， 促 进 电子 商务 的 发 展 。 

S-HTTP 可 以 与 HITP 消息 模型 共存 , 也 可 以 与 HITP 应 用 集成 。 S-HTTP 为 HTTP 客户 端 
和 服务 器 提供 了 各 种 安全 机 制 ， 适 用 于 潜在 的 各 类 Web 用 户 。 

S-HTTP 对 客户 端 和 服务 器 是 对 称 的 ， 对 于 双方 的 请 求 和 响应 做 同样 的 处 理 ， 但 是 保留 了 
HTTP 的 事务 处 理 模型 和 实现 特征 。 

S-HTTP 的 语法 与 HITP 一 样 ， 由 请 求 行 (Request Line) 和 状态 行 〈Status Line) 组 成 ， 
后 跟 报 文 头 和 报 文 体 (Message Body)， 然 而 报 文 头 有 所 区 别 ， 报 文体 经 过 了 加 密 。S-HTTP 客 
户 端 发 出 的 请 求 报 文 格式 如 图 8-34 所 示 。 


图 8-34 _ S-HTTP 报 文 格式 


为 了 与 HTTP 报 文 区 分 ，S-HTTP 报 文 使 用 了 协议 指示 器 Secure-HTTP/1.4， 这 样 S-HTTP 
报 文 可 以 与 HITP 报 文 混合 在 同一 个 TCP 端口 (80) 进行 传输 。 

由 于 SSL 的 迅速 出 现 ，S-HTTP 未 能 得 到 广泛 应 用 。 目 前 ，SSL 基本 取代 了 SHTTP。 大 多 
数 Web 交易 均 采用 传统 的 HITP 协议 ， 并 使 用 经 过 SSL 加 密 的 HTTP 报 文 来 传输 敏感 的 交易 
信息 。 


8.9.2 PGR 


PGP(Pretty Good Privacy ) 是 Philip R. Zimmermann 在 1991 年 开发 的 电子 邮件 加 密 软 件 包 。 
由 于 该 软件 违反 了 美国 的 密码 产品 出 口 限制 ， 作 者 被 联邦 政府 进行 了 3 年 的 犯罪 调查 。 今 天 ， 
PGP 已 经 成 为 使 用 最 广泛 的 电子 邮件 加 密 软 件 。PGP 能 够 得 到 广泛 应 用 的 原因 如 下 。 

(1) 能 够 在 各 种 平台 (如 DOS、Windows、UNIX 和 Macintosh 等 ) 上 免费 使 用 ， 并 且 得 
到 许多 制造 商 的 支持 。 

(2) 基于 比较 安全 的 加 密 算法 (RSA、IDEA、MD5 )。 

(3) 具有 广泛 的 应 用 领域 ， 既 可 用 于 加 密 文件 ， 也 可 用 于 个 人 安全 通信 。 

(4) 该 软件 包 不 是 由 政府 或 标准 化 组 织 开发 和 控制 的 ， 这 一 点 对 于 具有 自由 倾向 的 网 民 特 
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别 具 有 吸引 力 。 

了 PGP 提供 两 种 服务 : 数据 加 密 和 数字 签名 。 数 据 加 密 机 制 可 以 应 用 于 本 地 存储 的 文件 ， 也 
可 以 应 用 于 网 络 上 传输 的 电子 邮件 。 数 字 签 名 机 制 用 于 数据 源 身 份 认 证 和 报 文 完整 性 验证 .PGP 
使 用 RSA 公 钥 证 书 进行 身份 认证 , 使 用 IDEA (128 位 密 钥 ) 进行 数据 加 密 ， 使 用 MD5 进行 数 
据 完整 性 验证 。 

PGP 进行 身份 认证 的 过 程 叫 作 公 钥 指纹 (public-key fingerprint)。 所 谓 指 纹 ， 就 是 对 密 钥 
进行 MD5 变换 后 所 得 到 的 字符 串 。 假 如 Alice 能 够 识别 Bob 的 声音 ， 则 Alice 可 以 设法 得 到 
Bob 的 公 钥 ， 并 生成 公 钥 指 纹 ， 通 过 电话 验证 他 得 到 的 公 钥 指 纹 是 否 与 Bob 的 公 钥 指纹 一 致 ， 
以 证 明 Bob 公 钥 的 真实 性 。 

如 果 得 到 了 一 些 可 信任 的 公 钥 ， 就 可 以 使 用 PGP 的 数字 签名 机 制 得 到 更 多 的 真实 公 钥 。 
例如 ，Alice 得 到 了 Bob 的 公 钥 ， 并 且 信 任 Bob 可 以 提供 其 他 人 的 公 钥 ， 则 经 过 Bob 签名 的 公 
钥 就 是 真实 的 。 这 样 ， 在 相互 信任 的 用 户 之 间 就 形成 了 一 个 信任 圈 。 网 络 上 有 一 些 服务 器 提供 
公 钥 存储 器 ， 其 中 的 公 钥 经 过 了 一 个 或 多 个 人 的 签名 。 如 果 你 信任 某 个 人 的 签名 ， 那 么 就 可 以 
认为 他 /她 签名 的 公 钥 是 真实 的 。SLED (Stable Large E-mail DataBase) 就 是 这 样 的 服务 器 ， 在 
该 服务 器 目录 中 的 公 钥 都 是 经 过 SLED 签名 的 。 

PGP 证 书 与 X.509 证 书 的 格式 有 所 不 同 ， 其 中 包括 了 以 下 信息 。 

。 ”版 本 号 : 指出 创建 证 书 使 用 的 PGP 版 本 。 

。 ”证 书 持 有 者 的 公 钥 : 这 是 密 钥 对 的 公开 部 分 ， 并 且 指 明了 使 用 的 加 密 算法 RSA、DH 
或 DSA。 

证 书 持 有 者 的 信息 : 包括 证 书 持 有 者 的 身份 信息 ， 例 如 姓名 、 用 户 ID 和 照片 等 。 

证 书 持 有 者 的 数字 签名 : 也 叫 作 自 签名 ， 这 是 持 有 者 用 其 私 钥 生 成 的 签名 。 

证 书 的 有 效 期 : 证 书 的 起 始 日 期 /时 间 和 终止 日 期 /时 间 。 

对 称 加 密 算法 :指明 证 书 持 有 者 首选 的 数据 加 密 算法 ,PGP 支持 的 算法 有 CAST、IDEA 
和 3-DES 等 。 

PGP 证 书 格式 的 特点 是 单个 证 书 可 能 包含 多 个 签名 ， 也 许 有 一 个 或 许多 人 会 在 证 书 上 签 
确认 证 书 上 的 公 钥 属于 某 个 人 。 

有 些 PGP 证 书 由 一 个 公 钥 和 一 些 标签 组 成 ， 每 个 标签 包含 确认 公 钥 所 有 者 身份 的 不 同 手 
段 ， 例如 所 有 者 的 姓名 和 公司 邮件 账户 、 所 有 者 的 绰号 和 家 庭 邮件 账户 、 所 有 者 的 照片 等 ， 所 
有 这 些 全 都 在 一 个 证 书 里 。 

每 一 种 认证 手段 (每 一 个 标签 ) 的 签名 表 可 能 是 不 同 的 ， 但 是 并 非 所 有 的 标签 都 是 可 信任 
的 。 这 是 指 客观 意义 上 的 可 信 性 一 一 签名 只 是 署名 者 对 证 书 内 容 真实 性 的 评价 ， 在 签名 证 实 一 
个 密 钥 之 前 ， 不 同 的 署名 者 在 认定 密 钥 真实 性 方面 所 做 的 努力 并 不 相同 。 

有 一 系列 的 软件 工具 可 以 用 于 部 署 PGP 系统 ， 在 网 络 中 部 署 PGP 可 分 为 以 下 3 个 步骤 。 


名 
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(1) 建立 PGP 证 书 管理 中 心 。PGP 证 书 服务 器 (PGP Certificate Server) 是 一 个 现成 的 工 
具 软 件 ， 用 于 在 大 型 网 络 系 统 中 建立 证 书 管理 中 心 ， 形 成 统一 的 公 钥 基础 结构 。PGP 证 书 服务 
器 结合 了 轻 量 级 目录 服务 器 (LDAP) 和 PGP 证 书 的 优点 ,， 大 大 简化 了 投递 和 管理 证 书 的 过 程 ， 
同时 具备 灵活 的 配置 管理 和 制度 管理 机 制 。 PGP 证 书 服务 器 支持 LDAP 和 HTTP 协议 ， 从 而 保 
证 与 PGP 客户 软件 的 无 缝 集 成， 其 Web 接口 允许 管理 员 执 行 各 种 功能 ， 包 括 配 置 、 报 告 和 状 
态 检 查 ， 并 具有 远程 管理 能 力 。 

(2) 对 文档 和 电子 邮件 进行 PGP 加 密 。 在 Windows 中 可 以 安装 PGP for Business Security， 
对 文件 系统 和 电子 邮件 系统 进行 加 密 传输 。 

(3) 在 应 用 系统 中 集成 PGP。 系 统 开发 人 员 可 以 利用 PGP 软件 开发 工具 包 (PGP Software 
Development Kit) 将 加 密 功能 结合 到 现 有 的 应 用 系统 〈 如 电子 商务 、 法 律 、 金 融 及 其 他 应 用 ) 
中 。PGP SDK 采用 C/C++ API， 提 供 一 致 的 接口 和 强健 的 错误 处 理 功 能 。 


8.9.3 S/MIME 








S/MIME (Secure/Multipurpose Internet Mail Extensions) 是 RSA 数据 安全 公司 开发 的 软件 。 
S/MIME 提供 的 安全 服务 有 报 文 完整 性 验证 、 数 字 签名 和 数据 加 密 。S/MIME 可 以 添加 在 邮件 
系统 的 用 户 代理 中 ， 用 于 提供 安全 的 电子 邮件 传输 服务 ， 也 可 以 加 入 其 他 的 传输 机 制 ( 例 如 
HTTP) 中 ， 安 全 地 传输 任何 MIME 报 文 ， 甚 至 可 以 添加 到 自动 报 文 传输 代理 中 ， 在 Intemet 
中 安全 地 传送 由 软件 生成 的 FAX 报 文 。S/MIME 得 到 很 多 制造 商 的 支持 , 各 种 S/MIME 产品 具 
有 很 高 的 互 操 作 性 ,S/MIME 的 安全 功能 基于 加 密 信息 语法 标准 PKCS #7(RFC2315) 和 XX.509v3 
证 书 ， 密 钥 长 度 是 动态 可 变 的 ， 具 有 很 高 的 灵活 性 。 

S/MIME 发 送 报 文 的 过 程 如 下 (A 一 B)。 

1) 准备 好 要 发 送 的 报 文 M (明文 ) 

(1) 生成 数字 指纹 MD5 (MD)。 

(2) 生成 数字 签名 =Kap 数字 指纹 )，Kap 为 A 的 (RSA) 私 钥 。 

(3) 加 密 数 字 签 名 ，K。( 数 字 签 名 )，K, 为 对 称 密 钥 ， 使 用 方法 为 3DES 或 RC2。 

(4) 加 密 报 文 ， 密 文 =K。( 明 文 )， 使 用 方法 为 3DES 或 RC2。 

(5) 生成 随机 串 passphrase。 

(6) 加 密 随 机 串 Kp (passphrase)，KseE 为 B 的 公 钥 。 

2) 解密 随机 串 Kap (passphrase)，Ksp 为 B 的 私 钥 

(1) 解密 报 文 ， 明 文 -=K。( 密 文 )。 

(2) 解密 数字 签名 ，Kae 〈 数 字 签名 )，KAE 为 A 的 (RSA) 公 钥 。 

(3) 生成 数字 指纹 MD5 (M)。 

(4) 比较 两 个 指纹 是 否 相 同 。 
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8.9.4 ”安全 的 电子 交易 


安全 的 电子 交易 (Secure Electronic Transaction，SET) 是 一 个 安全 协议 和 报 文 格式 的 集合 ， 
融合 了 Netscape 的 SSL、Microsoft 的 STT (Secure Transaction Technology)、Terisa 的 S-HTTP、 
以 及 PKI 技术， 通过 数字 证 书 和 数字 签名 机 制 ， 使 得 客户 可 以 与 供应 商 进行 安全 的 电子 交易 。 
SET 得 到 了 Mastercard、Visa 以 及 Microsoft 和 Netscape 的 支持 ， 成 为 电子 商务 中 的 安全 基础 
设施 。 

SET 提供 以 下 3 种 服务 。 

(1) 在 交易 涉及 的 各 方 之 间 提供 安全 信道 。 

(2) 使 用 X.509 数字 证 书 实现 安全 的 电子 交易 。 

(3) 保证 信息 的 机 密 性 。 

对 SET 的 需求 源 于 在 ntemet 上 使 用 信用 卡 进行 安全 支付 的 商业 活动 ， 如 对 交易 过 程 和 订 
购 信息 提供 机 密 性 保护 、 保 证 传输 数据 的 完整 性 、 对 信用 卡 持 有 者 的 合法 性 验证 、 对 供应 商 是 
和 否 可 以 接受 信用 卡 交易 提供 验证 、 创 建 既 不 依赖 于 传输 层 安 全 机 制 又 不 排斥 其 他 应 用 协议 的 互 
操作 环境 等 。 

役 定 用 户 的 客户 端 配置 了 具有 SET 功能 的 浏览 器 ， 而 交易 提供 者 〈 银 行 和 商店 ) 的 服务 器 
也 配置 了 SET 功能 ， 则 SET 交易 过 程 如 下 。 

(1) 客户 在 银行 开通 了 Mastercard 或 Visa 银行 账户 。 

(2) 客户 收 到 一 个 数字 证 书 ， 这 个 电子 文件 就 是 一 个 联机 购物 信用 卡 ， 或 称 电子 钱包 ， 其 
中 包含 了 用 户 的 公 钥 及 有 效 期 ， 通 过 数据 交换 可 以 验证 其 真实 性 。 

(3) 第 三 方 零售 商 从 银行 收 到 自己 的 数字 证 书 ， 其 中 包含 零售 商 的 公 钥 和 银行 的 公 钥 。 

(4) 客户 通过 网 页 或 电话 发 出 订单 。 

(5) 客户 通过 浏览 器 验证 了 零售 商 的 证 书 ， 确 认 零 售 商 是 合法 的 。 

(6) 浏览 器 发 出 定购 报 文 ， 这 个 报 文 是 通过 零售 商 的 公 钥 加 密 的 ， 而 支付 信息 是 通过 银行 
的 公 钥 加 密 的 ， 零 售 商 不 能 读 取 支 付 信息 ， 以 保证 指定 的 款项 用 于 特定 的 购买 。 

(7) 零售 商检 查 客户 的 数字 证 书 以 验证 客户 的 合法 性 ， 这 可 以 通过 银行 或 第 三 方 认 证 机 构 

(8) 零售 商 把 订单 信息 发 送 给 银行 ， 其 中 包含 银行 的 公 钥 、 客 户 的 支付 信息 以 及 零售 商 自 
己 的 证 书 。 

(9) 银行 验证 零售 商 和 定购 信息 。 

(10) 银行 进行 数字 签名 ， 向 零售 商 授权 ， 这 时 零售 商 就 可 以 签署 订单 了 。 
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8.9.5 Kerberos 


Kerberos 是 一 项 认证 服务 ， 它 要 解决 的 问题 是 : 在 公开 的 分 布 式 环境 中 ， 工 作 站 上 的 用 户 
希望 访问 分 布 在 网 络 上 的 服务 器 ， 希 望 服务 器 能 限制 授权 用 户 的 访问 ， 并 能 对 服务 请 求 进行 认 
证 。 在 这 种 环境 下 ， 存 在 以 下 3 种 威胁 。 

(1) 用 户 可 能 假装 成 另 一 个 用 户 在 操作 工作 站 。 

(2) 用 户 可 能 会 更 改 工作 站 的 网 络 地 址 ， 使 从 这 个 已 更 改 的 工作 站 发 出 的 请 求 看 似 来 自 被 
伪装 的 工作 站 。 

(3) 用 户 可 能 窃听 交换 中 的 报 文 ， 并 使 用 重 放 攻 击 进入 服务 器 或 打 断 正在 进行 中 的 操作 。 

在 任何 一 种 情况 下 ， 一 个 未 授权 的 用 户 能 够 访问 未 被 授权 访问 的 服务 和 数据 。Kerberos 不 
是 建立 一 个 精密 的 认证 协议 ， 而 是 提供 一 个 集中 的 认证 服务 器 ， 其 功能 是 实现 应 用 服务 器 与 用 
户 间 的 相互 认证 。 

有 两 个 版 本 的 Kerberos 方法 很 常用 。 现 在 ， 第 4 版 还 在 广泛 使 用 ,第 5 版 弥补 了 第 4 版 中 
存在 的 某 些 安全 漏洞 ， 并 已 作为 Internet 标准 草案 发 布 。 

Kerberos 是 MIT 为 校园 网 用 户 访问 服务 器 进行 身份 认证 而 设计 的 安全 协议 , 它 可 以 防止 偷 
听 和 重 放 攻 击 ， 保 护 数据 的 完整 性 。Kerberos 的 安全 机 制 如 下 。 

。 AS (Authentication Server): 认证 服务 器 ， 是 为 用 户 发 放 TGT 的 服务 器 。 

。 TGS (Ticket Granting Server): 票证 授予 服务 器 ， 负 责 发 放 访问 应 用 服务 器 时 需要 的 

票证 。 认 证 服务 器 和 票据 授予 服务 器 组 成 密 钥 分 发 中 心 (Key Distribution Center， 
KBE 

。 “V: 用 户 请 求 访问 的 应 用 服务 器 。 

。 ”TGT (Ticket Granting Ticket): 用 户 向 TGS 证 明 自己 身份 的 初始 票据 ， 即 Kres(A,Ks)。 

对 图 8-35 所 示 的 认证 过 程 解释 如 下 。 


[fi A | 一 | 
CDA AS 登录 


-一 (2)Ka(Ks, Kros (A, Ks)) [= 
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图 8-35 Kerberos 
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(1) 用 户 向 KDC 申请 初始 票据 。 

(2) KDC 向 用 户 发 放 TGT 会 话 票据 。 

(3) 用 户 向 TGS 请 求 会 话 票 据 。 

(4) TGS 验证 用 户 身份 后 发 放 给 用 户 会 话 票 据 Kav。 

(5) 用 户 向 应 用 服务 器 请 求 登录 。 

(6) 应 用 服务 器 向 用 户 验 证 时 间 戳 。 

对 Kerberos 的 安全 机 制 分 析 如 下 。 

(1) Ka 是 用 户 的 工作 站 根据 输入 的 口令 字 导 出 的 Hash 值 ， 最 容易 受到 攻击 ， 但 是 Ks 的 
使 用 是 很 少 的 。 

(2) 系统 的 安全 是 基于 对 AS 和 TGS 的 绝对 信任 ， 实 现 软件 是 不 能 修改 的 。 

(3) 时 间 惟 1 可 以 防止 重 放 攻 击 。 

(4) 第 (2) 一 〈6) 步 使 用 加 密 手 段 ， 实 施 了 连续 认证 机 制 。 

(5) AS 存储 所 有 用 户 的 KA4， 以 及 TGS、V 的 标识 和 Kres，TGS 要 存储 Kres， 服 务 器 要 
存储 Kv。 

公 钥 基础 设施 是 基于 非 对 称 密 钥 的 密 钥 分 发 机 制 , 通过 双方 信任 的 证 书 授权 中 心 获取 对 方 
的 公 钥 ， 用 于 身份 认证 和 保密 通信 。 


8.10 ”可 信任 系统 


通常 将 可 信任 系统 定义 为 : 一 个 由 完整 的 硬件 及 软件 所 组 成 的 系统 ， 在 不 违反 访问 权限 的 
情况 下 , 它 能 同时 服务 于 不 限定 个 数 的 用 户 , 并 处 理 从 一 般 机 密 到 最 高 机 密 等 不 同 范围 的 信息 。 
更 进一步 ， 将 一 个 计算 机 系统 可 接受 的 信任 程度 加 以 分 级 ， 凡 符合 某 些 安全 条 件 、 基 准 、 规 则 
的 系统 即 可 归 类 为 某 种 安全 等 级 。 将 计算 机 系统 的 安全 性 能 由 高 到 低 划分 为 A、B、C、D 共 4 
个 大 等 级 7 个 小 等 级 ， 特 别 是 较 高 等 级 的 安全 范围 涵盖 较 低 等 级 的 安全 范围 ， 而 每 个 大 等 级 又 
以 安全 性 高 低 依次 编号 细 分 成 数 个 小 等 级 。 


1. D 级 ， 最 低 保护 〈Minimal Protection) 
其 也 称 安全 保护 和 欠缺 级 ， 凡 没有 通过 其 他 安全 等 级 测试 项 目的 系统 即 属于 该 级 ， 如 


IBM-PC、Apple Macintosh 等 个 人 计算 机 的 系统 虽 未 经 安全 测试 ， 但 如 果 有 ， 很 可 能 属于 此 级 。 
D 级 并 非 没有 安全 保护 功能 ， 只 是 太 弱 。 
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2. C 级， 自 定式 保护 《Discretionary Protection) 


该 等 级 的 安全 特点 在 于 系统 的 对 象 ( 如 文件 、 目 录 ) 可 由 系统 的 主题 (如 系统 管理 员 、 用 
户 和 应 用 程序 ) 自 定义 访问 权 。 例 如 ， 管 理 员 可 以 决定 某 个 文件 仅 允 许 一 特定 用 户 读 取 、 另 一 
用 户 写 入 。 某 人 可 以 决定 他 的 某 个 目录 可 公开 给 其 他 用 户 读 、 写 等 。 在 UNIX、Windows NT 
等 操作 系统 都 可 以 见 到 这 种 属性 。 该 等 级 依 安全 高 低 分 为 Cl 和 C2 两 个 安全 等 级 。 

(1) C1 级， 自主 安全 保护 级 。 可 信 计 算 基 (Trmsted Computing Base，TCB) 定义 和 控制 
系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 ( 如 访问 控制 表 〉 人 允许 命名 用 户 和 (或 )》 用 户 组 
的 身份 规定 并 控制 客体 的 共享 ， 以 及 阻止 非 授权 用 户 读 取 敏感 信息 。 

可 信 计 算 基 是 指 为 实现 计算 机 处 理 系统 安全 保护 策略 的 各 种 安全 保护 机 制 的 集合 。 

(2) C2 级 ， 受 控 存 取保 护 级 。 与 自主 安全 保护 级 相 比 ， 本 级 的 可 信 计 算 实 施 了 粒度 更 细 
的 自主 访问 控制 ， 它 通过 登录 规程 、 审 计 安全 性 相关 事件 以 及 隔离 资源 ， 使 用 户 能 对 自己 的 
行为 负责 。 


3. B 级 ， 强 制式 保护 〈Mandatory Protection) 


该 等 级 的 安全 特点 在 于 由 系统 强制 的 安全 保护 ， 在 强制 式 保护 模式 中 ， 每 个 系统 对 象 ( 如 
文件 、 目 录 等 资源 ) 及 主题 (如 系统 管理 员 、 用 户 和 应 用 程序 ) 都 有 自己 的 安全 标签 (Security 
Label)， 系 统 即 依据 用 户 的 安全 等 级 赋予 他 对 各 对 象 的 访问 权限 。 

(1) Bl 级 ， 标 记 安 全 保护 级 。 本 级 的 可 信 计 算 基 具有 受 近 期 存 取保 护 级 的 所 有 功能 。 此 
外 ， 还 可 提供 有 关 安 全 策略 模型 、 数 据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ; 
具有 准确 地 标记 输出 信息 的 能 力 ， 可 消除 通过 测试 发 现 的 任何 错误 。 

(2) B2 级 ,结构 化 保护 级 。 本 级 的 可 信 计 算 基 建立 于 一 个 明确 宣言 定义 的 形式 化 安全 策 
略 模型 之 上 ， 它 要 求 将 B1 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ， 
还 要 考虑 隐蔽 通道 。 本 级 的 可 信 计 算 基 必 须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 素 。 可 信 
计算 基 的 接口 也 必须 明确 定义 ， 使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 ， 并 且 
加 强 了 认证 机 制 ， 支持 系统 管理 员 和 操作 员 的 职能 ;提供 可 信 设 施 管理 ， 增 强 了 配置 管理 控 
制 。 系 统 具有 相当 的 抗 渗透 能 力 。 

(3) B3 级 ， 安 全 域 级 。 本 级 的 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 是 指 监控 主 
体 和 客体 之 间 授权 访问 关系 的 部 件 。 访 问 监控 器 仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 本 
身 是 抗 自 改 的 ， 必 须 足 够 小 ， 能 够 分 析 和 测试 。 为 了 满足 访问 监控 器 需求 ， 可 信 计 算 基 在 其 
构造 时 排除 实施 对 安全 策略 来 说 并 非 必要 的 代码 ; 在 设计 和 实现 时 ， 从 系统 工程 角度 将 其 复 
杂 性 降 到 最 低 ; 支持 安全 管理 员 职 能 ; 扩充 审计 机 制 ， 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 
提供 系统 恢复 机 制 ， 且 系统 具有 很 高 的 抗 渗透 能 力 。 
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4. A 级 ， 可 验证 保护 (Verified Protection) 


虽然 橘 皮 书 仍 可 能 定义 比 Al 高 的 安全 等 级 ， 但 目前 此 级 仅 有 Al 等 级 ，A 等 级 的 功能 基 
本 上 与 B3 的 相同 ， 其 特点 在 于 A 等 级 的 系统 拥有 正式 的 分 析 及 数学 方法 ， 可 完全 证 明 该 系统 
的 安全 策略 及 安全 规格 的 完整 性 与 一 致 性 。 本 级 还 规定 了 将 安全 计算 机 系统 运送 到 现场 安装 所 
必须 遵守 的 程序 。 

可 信任 计算 机 系统 评 量 基 准 〈Trusted Computer System Evaluation Criteria) 是 美国 国家 安 
全 局 (NSA) 的 国家 计算 机 安全 中 心 (NCSC) 于 1983 年 8 月 颁发 的 官方 标准 ， 是 目前 颇具 权 
威 的 计算 机 系统 安全 标准 之 一 。 例 如 ， 微 软 的 Windows NT 4.0 及 以 上 版 本 目前 具有 C2 安全 等 
级 。 也 就 是 说 ， 它 的 安全 特性 就 在 于 自 定式 保护 ，NT 未 来 可 能 提高 到 B2 安全 等 级 。Windows 
2000 现 已 顺利 获得 认证 。UNIX 未 经 测试 时 ， 一 般 认 为 是 C1， 也 有 人 认为 是 C2。 


8.11 防火 墙 





8.11.1 ”防火墙 的 基本 概念 


随 着 mntemet 的 广泛 应 用 ， 人 们 在 扩展 了 获取 和 发 布 信息 能 力 的 同时 也 带 来 了 信息 被 污染 
和 破坏 的 危险 。 这 些 安全 问题 主要 是 由 网 络 的 开放 性 、 无 边界 性 和 自由 性 等 因素 造成 的 。 

(1) 计算 机 操作 系统 本 身 有 一 些 缺 陷 。 

(2) 各 种 服务 ， 如 Telnet、NFS、DNS 和 Active X 等 存在 安全 漏洞 。 

(3) TCP/IP 协议 几乎 没有 考虑 安全 因素 。 

(4) 追查 黑客 的 攻击 很 困难 ， 因 为 攻击 可 能 来 自 Intemet 上 的 任何 地 方 。 对 于 一 组 相互 
信任 的 主机 ， 其 安全 程度 是 由 最 弱 的 一 台 主 机 所 决定 的 ， 一 旦 被 攻破 ， 就 会 两 及 其 他 主机 。 

出 于 对 以 上 问题 的 考虑 ， 应 该 把 被 保护 的 网 络 与 开放 的 、 无 边界 的 、 不 可 信任 的 网 络 隔离 
起 来 ， 使 其 成 为 可 管理 、 可 控制 、 安 全 的 内 部 可 信任 网 络 。 要 做 到 这 一 点 ， 最 基本 的 隔离 手段 
就 是 使 用 防火 墙 。 防火 墙 作为 网 络 安 全 的 第 一 道门 户 ， 可 以 实现 内 部 可 信任 网 络 与 外 部 不 可 信 
任 网 络 之 间 (或 是 内 部 不 同 网 络 安 全 区 域 之 间 ) 的 隔离 和 访问 控制 。 

“防火 墙 ” 一 词 来 自 建筑 物 中 的 同名 设施 ， 从 字面 意思 上 说 ， 它 用 于 防止 火灾 从 建筑 物 的 
一 部 分 蔓延 到 其 他 部 分 。Intemet 防火 墙 也 要 起 到 同样 的 作用 ， 防 止 Intemet 上 的 不 安全 因素 蔓 
延 到 企业 或 组 织 的 内 部 网 。 

从 狭义 上 说 ， 防 火 墙 是 指 安 装 了 防火 墙 软件 的 主机 或 路 由 器 系统 ， 从 广义 上 说 ， 防 火 墙 还 
包括 整个 网 络 的 安全 策略 和 安全 行为 。 

AT&T 的 两 位 工程 师 William Cheswich 和 Steven Bellovin 给 出 了 防火 墙 的 明确 定义 。 

(1) 所 有 的 从 外 部 到 内 部 或 从 内 部 到 外 部 的 通信 都 必须 经 过 它 。 
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(2) 只 有 内 部 访问 策略 授权 的 通信 才能 被 允许 通过 。 

(3) 系统 本 身 具有 很 强 的 可 靠 性 。 

总 而 言 之 , 防火 墙 是 一 种 网 络 安全 防护 手段 ,其 主要 目标 就 是 通过 控制 进 /出 一 个 网 络 的 权 
限 ， 并 对 所 有 经 过 的 数据 包 都 进行 检查 ， 防 止 内 网 络 受到 外 界 因素 的 干扰 和 破坏 。 在 逻辑 上 ， 
防火 墙 是 一 个 分 离 器 ， 一 个 限制 器 ， 也 是 一 个 分 析 器 ， 能 有 效 地 监视 内 部 网 络 和 Intemet 之 间 
的 任何 活动 ， 保 证 内 部 网 络 的 安全 ;在 物理 实现 上 ， 防 火 墙 是 位 于 网 络 特殊 位 置 的 一 组 硬件 设 
备 一 一 路 由 器 、 计 算 机 或 其 他 特别 配置 的 硬件 设备 。 防 火 墙 可 以 是 一 个 独立 的 系统 ， 也 可 以 在 
一 个 经 过 特别 配置 的 路 由 器 上 实现 防火 墙 。 


8.11.2 防火墙 的 功能 和 拓扑 结构 


从 内 部 网 络 安全 的 角度 ， 对 防火 墙 功 能 应 提出 下 列 需求 。 

(1) 防火 墙 应 该 由 多 个 部 件 组 成 ， 形 成 一 个 充分 宛 余 的 安全 系统 ， 避 免 成 为 网 络 中 的 “ 单 
失效 点 ”( 即 这 一 点 突破 则 无 安全 可 言 )。 

(2) 防火 墙 的 失效 模式 应 该 是 “失效 一 安全 ”型 ， 即 一 旦 防火 墙 失 效 、 崩 淡 或 重启 ， 则 必 
须 立即 阻 断 内 部 网 络 与 外 部 网 络 的 联系 ， 保 护 内 部 网 络 安全 。 

(3) 由 于 防火 墙 是 网 络 的 安全 屏障 ， 所 以 就 成 为 网 络 黑客 的 主要 攻击 对 象 ， 这 就 要 求 防火 
堵 的 主机 操作 系统 十 分 安全 可 靠 。 作 为 网 关 服务 器 的 主机 应 该 选用 增强 型 安全 核心 的 堡垒 主 
机 ， 以 增加 其 抗 攻击 性 。 同 时 在 网 关 服 务 器 中 应 禁止 运行 应 用 程序 ， 杜 绝 非法 访问 。 

(4) 防火 墙 应 提供 认证 服务 ， 外 部 用 户 对 内 部 网 络 的 访问 应 经 过 防火 墙 的 认证 检查 。 

(5) 防火 墙 对 外 部 网 络 屏蔽 或 隐藏 内 部 网 络 的 网 络 地 址 、 拓 扑 结构 等 信息 。 

另外 ， 防 火 墙 应 支持 通常 的 mntemet 应 用 (电子 邮件 、FIP、WWW 等 )， 以 及 企业 需要 的 
特殊 应 用 ， 为 这 些 网 络 应 用 分 别提 供 适 当 的 安全 控制 措施 ， 使 得 企业 内 部 网 络 既 有 必要 的 开放 
性 ， 又 有 严密 的 安全 性 。 

从 实现 的 功能 和 构成 部 件 来 划分 ， 防 火 墙 可 以 分 为 以 下 类 型 。 

(1) 过 滤 路 由 器 。 在 传统 路 由 器 中 增加 分 组 过 滤 功 能 就 形成 了 最 简单 的 防火 墙 。 这 种 防火 
墙 的 优点 是 完全 透明 、 成 本 低 、 速 度 快 、 效 率 高 。 缺 点 是 这 种 防火 墙 会 成 为 网 络 中 的 单 失效 点 。 
而 且 由 于 路 由 器 的 基本 功能 是 转发 分 组 ， 一 旦 过 滤 机 制 失效 〈 例 如 唱 遇 下 欺骗 )， 就 会 使 得 非 
法 访问 者 进入 内 部 网 络 ， 所 以 这 种 防火 墙 不 是 “失效 一 安全 ”模式 的 。 这 种 防火 墙 不 能 提供 有 
效 的 安全 功能 。 

(2) 双 宿 主 网 关 (Dual-Homed Gateway)。 这 种 防火 墙 由 具有 两 个 网 络 接口 主机 系统 构成 。 
双 宿 主机 内 外 的 网 络 均 可 与 双 宿 主机 实施 通信 ， 但 不 可 直接 通信 。 内 外 网 络 要 进行 通信 ， 须 在 
在 网 关 服 务 器 上 注册 或 通过 代理 来 提供 很 高 程度 的 网 络 控制 。 使 用 代理 服务 器 会 大 大 简化 用 户 
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的 访问 过 程 ， 如 果 应 用 了 SOCKS 服务 ， 甚 至 可 以 做 到 对 用 户 完 全 透明 。 

从 失效 模式 上 看 ， 双 宿主 网 关 是 “失效 一 安全 ”型 ， 因 为 运行 网 关 软 件 的 主机 在 没有 显 式 
配置 的 情况 下 是 不 会 转发 分 组 的 。 然 而 ， 由 于 这 种 防火 墙 是 由 单个 主机 组 成 的 ， 没 有 安全 宛 余 
机 制 ， 仍 是 网 络 中 的 单 失效 点 ， 而 且 有 些 安全 功能 〈 例 如 认证 ) 单独 利用 代理 服务 器 也 不 易 实 
现 ， 所 以 还 是 不 够 安全 的 防火 墙 。 

(3) 过 滤 式 主机 网 关 。 这 种 防火 墙 由 过 滤 路 由 器 和 运行 网 关 软 件 的 主机 《代理 服务 器 ) 组 
成 ， 如 图 8-36 所 示 。 


认证 服务 器 





Internet 入 > 


过 滤 路 由 器 
代理 服务 器 


FTP 服 务 器 前 


图 8-36 ”过 滤 式 主机 网 关 

在 这 种 结构 中 ， 路 由 器 是 内 部 网 络 的 第 一 道 防线 ， 主 要 起 分 组 过 滤 作 用 。 根 据 配 置 情况 ， 
代理 服务 器 可 以 完成 以 下 功能 。 

。 ”作为 内 部 网 络 的 域名 服务 器 。 

。 ”作为 信息 服务 器 提供 公共 信息 服务 ， 例 如 WWW 服务 或 FTP 服务 。 

。 “作为 与 外 部 通信 的 公共 网 关 服 务 器 。 

。 ”主机 可 以 完成 多 种 代理 功能 , 例如 区 分 普通 的 FTP 和 匿名 的 FTP, 区 分 外 向 的 或 内 向 

的 Telnet 请 求 ， 还 可 以 与 认证 服务 器 交互 作用 实现 认证 功能 。 

这 种 防火 墙 能 够 提供 比较 完善 的 Internet 访问 控制 ， 但 是 也 有 两 个 缺点 。 一 是 主机 要 实现 
多 种 功能 ， 因 而 配置 复杂 ; 二 是 主机 仍 是 网 络 的 单 失效 点 , 也 会 成 为 网 络 黑客 集中 攻击 的 目标 。 
所 以 这 种 防火 墙 仍然 不 能 提供 理想 的 安全 保障 。 
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(4) 过 滤 式 子 网 。 与 过 滤 式 网 关 相 比较 ， 这 种 防火 墙 将 单 台 主 机 的 功能 分 散 到 多 个 主机 组 


成 的 子 网 中 实现 ， 如 图 8-37 所 示 。 有 的 主机 作为 Web 服务 器 ， 有 的 作为 FTP 服务 器 ， 还 有 的 
主机 可 以 作为 代理 服务 器 ， 以 维持 所 有 内 外 网 之 间 的 连接 。 


认证 服务 器 





S> 内 部 网 


过 滤 路 由 器 


代理 服务 器 











图 8-37 过 滤 式 子 网 结构 


从 功能 特性 看 ， 这 种 防火 墙 与 过 滤 式 主机 网 关 类 似 , 但 由 于 子 网 中 的 每 个 主机 只 运行 一 种 
业务 ， 因 而 容易 配置 ， 而 且 也 减少 了 疤 入 者 突破 的 机 会 。 

对 于 子 网 中 的 服务 器 ， 内 部 用 户 和 外 部 用 户 都 可 以 访问 。 这 种 处 于 内 部 网 络 与 外 部 网 络 之 
间 的 子 网 被 称 为 边界 网 络 ， 也 叫 作 非 军事 区 (DeMilitarized Zone，DMZ)， 这 个 名 称 反 映 了 这 
种 子 网 的 特殊 作用 。 

(5) 悬挂 式 结构 。 这 种 防火 墙 的 结构 如 图 8-38 所 示 ， 与 过 滤 式 子 网 的 主要 区 别 是 作为 代 
理 服务 器 的 主机 网 关 位 于 边界 网 络 中 ， 另 外 还 增加 了 内 部 过 滤 路 由 器 进一步 保障 内 部 网 络 的 安 
全 。 这 个 改进 从 安全 角度 看 是 很 重要 的 ， 代 理 服务 器 成 为 内 部 网 络 的 第 一 道 防线 ， 而 内 部 路 由 
器 是 第 二 道 防线 。 把 企业 网 络 提供 的 公共 服务 前 置 到 边界 网 络 中 ， 降 低 了 内 部 网 络 的 风险 。 这 
种 结构 符合 前 面 提 到 的 各 种 需求 (各 种 必要 的 应 用 ， 充 分 元 余 的 安全 机 制 ， 隐 项 内 部 网 络 的 细 
节 等 )， 因 而 是 理想 的 安全 防火 墙 。 现 代 商 用 防火 墙 虽然 表现 为 单一 的 部 件 级 产品 ， 但 都 具有 
类 似 的 配置 ， 都 能 提供 类 似 的 功能 。 
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图 8-38 悬挂 式 网 结构 


图 8-39 表示 出 各 种 防火 增 的 安全 等 级 。 开 放 式 网 络 的 安全 级 别 最 低 ， 因 为 开放 的 Internet 
是 不 安全 的 。 过 滤 路 由 器 能 提供 最 简单 的 安全 措施 ， 随 着 各 种 代理 服务 器 的 加 入 ， 内 部 网 络 的 
安全 性 逐步 得 到 提高 ， 安 全 的 操作 系统 提高 了 防火 墙 的 抗 攻击 型 ， 认 证 服务 对 保护 内 部 网 络 安 
全 提供 了 更 加 完备 的 补充 。 另 外 ， 不 允许 外 部 访问 的 网 络 完全 排除 了 入 侵 的 可 能 性 ， 但 是 内 部 
的 安全 还 需要 特别 的 管理 措施 来 保障 。 事 实 上 ， 许 多 机 密 组 织 的 内 部 网 络 与 Internet 是 物理 隔 


离 的 ， 但 是 需要 付出 高 昂 的 代价 。 
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图 8-39 各 种 防火 墙 的 安全 性 能 
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8.12 ”计算 机 病毒 及 防护 


8.12.1 计算 机 病毒 概述 


1. 计算 机 病毒 的 特征 


所 谓 病 毒 ， 是 指 一 段 可 执行 的 程序 代码 ， 通 过 对 其 他 程序 进行 修改 ， 可 以 感染 这 些 程序 ， 
使 其 含有 该 病毒 程序 的 一 个 副本 。 病 毒 与 正常 程序 唯一 的 区 别 是 它 能 将 自己 附着 在 另外 一 个 程 
序 上 ， 在 宿主 程序 运行 时 触发 病毒 程序 代码 的 执行 。 一 旦 病毒 执行 ， 它 可 以 完成 病毒 程序 预 设 
的 功能 ， 例 如 删除 文件 和 程序 等 。 

在 病毒 的 生存 期 内 ， 典 型 的 病毒 经 历 了 下 面 4 个 阶段 。 

(1) 潜伏 阶段 。 在 该 阶段 ， 病 毒 处 于 未 运行 状态 ， 一 般 需 要 通过 某 个 事件 来 激活 ， 例 如 一 
个 时 间 点 、 一 个 程序 或 文件 的 存在 、 宿 主 程序 的 运行 , 或 者 磁盘 的 容量 超出 某 个 限制 等 。 然 而 ， 
并 不 是 所 有 的 病毒 都 要 经 过 这 个 阶段 。 

(2) 繁殖 阶段 。 在 该 阶段 ， 病 毒 将 自己 的 副本 放 入 其 他 程序 或 者 磁盘 上 的 特定 系统 区 域 ， 
使 得 程序 包含 病毒 的 一 个 副本 ， 即 对 程序 进行 感染 。 

(3) 触发 阶段 。 在 该 阶段 ， 由 于 各 种 可 能 的 触发 条 件 的 满足 ， 导 致 病毒 被 激活 ， 以 执行 病 
毒 程序 预 设 的 功能 。 

(4) 执行 阶段 。 病 毒 程序 预 设 的 功能 被 完成 。 

大 多 数 病毒 按照 一 种 与 特定 操作 系统 有 关 的 ， 或 者 在 某 种 情况 下 与 特定 硬件 平台 有 关 的 方 
式 来 完成 它们 的 工作 。 因 此 ， 它 们 可 以 被 设计 成 利用 特定 系统 或 平台 的 细节 漏洞 或 者 弱点 来 
工作 。 

一 旦 病毒 通过 感染 一 个 程序 进入 系统 , 当 被 感染 程序 执行 时 , 它 就 处 于 可 执行 文件 的 位 置 。 
防止 病毒 感染 非常 困难 ， 因 为 病毒 可 以 是 任何 程序 的 一 部 分 。 任 何 操作 系统 和 应 用 程序 ， 都 存 
在 着 已 知 或 者 未 知 的 漏洞 ， 都 存在 着 被 病毒 攻击 的 风险 。 

2. 病毒 的 分 类 和 命名 规则 

病毒 名 称 的 一 般 格 式 为 < 病毒 前 级 >.< 病 毒 名 >.< 病 毒 后 级 >。 病 毒 前 缀 是 指 病毒 的 种 类 ， 不 
同 种 类 的 病毒 其 前 组 是 不 同 的 。 比 如 常见 的 木马 病毒 的 前 绥 为 Trojan, 蠕虫 病毒 的 前 级 是 Worm 
等 。 病 毒 名 是 指 一 个 病毒 的 家 族 特 征 , 例如 CIH 病毒 的 家 族 名 是 “CIH”， 振 荡 波 旺 虫 病毒 的 家 
族 名 是 “Sasser”。 病 毒 后 缀 是 用 来 区 别 某 个 家 族 病毒 的 不 同 变种 的 ， 一 般 都 采用 英文 字母 来 表 
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示 ， 如 Worm.Sasserb 就 是 指 振荡 波 蠕虫 病毒 的 变种 b。 如 果 病 毒 变种 非常 多 ， 可 以 采用 数字 
与 字母 混合 表示 。 常 见 的 病毒 可 以 根据 其 行为 特征 归纳 为 以 下 几 类 。 

(1) 系统 病毒 ， 其 前 级 为 Win32、PE、Win95、W32、W95 等 。 这 些 病 毒 的 一 般 共 同 的 特 
性 是 感染 Windows 操作 系统 的 exe 和 dll 文件 ， 并 通过 这 些 文件 进行 传播 。 例 如 CIH 病毒 。 

(2) 蠕虫 病毒 ， 其 前 级 是 Worm。 这 种 病毒 的 特性 是 通过 网 络 或 者 系统 漏洞 进行 传播 ， 大 
部 分 蠕虫 病毒 都 有 向 外 发 送 带 毒 邮件 、 阻 塞 网 络 的 特性 。 例 如 冲击 波 病毒 〈 阻 塞 网 络 )、 小 邮 
差 病 毒 〈 发 送 带 毒 邮件 ) 等 。 

(3) 木马 病毒 和 黑客 病毒 : 木马 病毒 的 前 绥 为 Trojan， 黑 客 病毒 的 前 级 为 Hack。 木 马 病毒 
的 特征 是 通过 网 络 或 系统 漏洞 进入 用 户 系统 并 隐藏 起 来 ， 然 后 向 外 界 泄露 用 户 的 解密 信息 ;而 
黑客 病毒 有 一 个 可 视 的 界面 ， 能 对 用 户 的 计算 机 进行 远程 控制 。 木 马 和 黑客 病毒 往往 是 成 对 出 
现 的 ， 即 木马 病毒 负责 侵入 用 户 计算 机 ， 而 黑客 病毒 则 通过 木马 病毒 进行 远程 控制 。 现 在 这 两 
种 病毒 越 来 越 趋 向 于 整合 了 。 一 般 的 木马 病毒 有 QQ 消息 尾巴 木马 Trojan.QQ3344， 针 对 网 络 
游戏 的 木马 Trojan.LMirPSW.60。 当 病毒 名 中 有 PSW 或 者 PWD 时 ， 表 示 这 种 病毒 有 盗 取 密 码 
的 功能 ， 黑 客 程序 有 网 络 泉 雄 Hack.Nether Client 等 。 

(4) 脚本 病毒 ， 其 前 级 是 Script。 脚 本 病毒 的 共同 特性 是 使 用 脚本 语言 编写 ， 通 过 网 页 进 
行 传播 ， 如 红色 代码 ScriptRedlof。 脚 本 病毒 还 可 能 有 前 绥 VBS、JS (表明 是 用 何 种 脚本 编写 
的 )， 如 欢乐 时 光 病 毒 (VBS.Happytime)、 十 四 日 病毒 (Js.Fortnight.c.s) 等。 

(5) 宏 病 毒 ， 宏 病毒 是 一 种 寄存 在 文档 或 文档 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 
文档 ， 其 中 的 宏 就 会 被 执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 并 驻 留 在 Normal 模板 上 。 从 此 以 后 ， 
所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病 毒 ， 而 且 如 果 其 他 用 户 打 开 了 感染 病毒 的 文档 ， 
宏 病毒 又 会 转移 到 他 的 计算 机 上 。 它 是 一 种 脚本 病毒 。 安 病毒 的 前 缀 是 Macro， 第 二 前 级 是 
Word、Word97、Excel、Excel97 等 。 

。 ”凡是 只 感染 Word97 及 以 前 版 本 Word 文档 的 病毒 采用 Word97 作为 第 二 前 级 ， 格 式 是 


Macro. Word97; 

。 凡是 只 感染 Word97 以 后 版 本 Word 文档 的 病毒 采用 Word 作为 第 二 前 级 ， 格 式 是 
Macro. Word:; 

。 凡是 只 感染 Excel97 及 以 前 版 本 Excel 文档 的 病毒 采用 Excel97 作为 第 二 前 级 , 格式 是 
Macro.Excel97; 


。 凡是 只 感染 Excel97 以 后 版 本 Excel 文档 的 病毒 采用 Excel 作为 第 二 前 级 ， 格 式 是 
Macro.Excel， 依 此 类 推 。 
这 类 病毒 的 共同 特性 是 能 感染 O 人 ce 文档 , 然后 通过 OfEce 通用 模板 进行 传播 ,例如 著名 
的 梅 丽 莎 病 毒 Macro.Melissa。 
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(6) 后 门 病毒 : 其 前 级 是 Backdoor, 这 类 病毒 的 共同 特性 是 通过 网 络 传播 , 给 系统 开 后 门 ， 
给 用 户 的 计算 机 带 来 安全 隐患 。 

(7) 病毒 种 植 程序 ， 这 类 病毒 的 共同 特征 是 运行 时 会 释放 出 一 个 或 几 个 新 的 病毒 ， 存 放 在 
系统 目录 下 , 并 由 释放 出 来 的 新 病毒 产生 破坏 作用 。 例如 冰河 播种 者 Dropper.BingHe2.2C、MSN 
射手 病毒 Dropper Worm.Smibag 等 。 

(8) 破坏 性 程序 病毒 ， 其 前 级 是 Harm。 这 类 病毒 的 共同 特性 是 本 身 具有 好 看 的 图 标 来 诱 
惑 用 户 点 击 。 当 用 户 点 击 这 类 病毒 时 ， 病 毒 便 会 对 用 户 的 计算 机 产生 破坏 。 例 如 格式 化 C 盘 的 
病毒 Harm.formatCf、 杀 手 命令 病毒 Harm.Command.Killer 等 。 

(9) 玩笑 病毒 ， 其 前 级 是 Joke， 也 称 恶 作 剧 病毒 。 这 类 病毒 的 共同 特征 是 具有 好 看 的 图 标 
来 诱惑 用 户 点 击 。 当 用 户 点 击 这 类 病毒 文件 时 ， 病 毒 会 呈现 出 各 种 破坏 性 画面 来 吓 忠 用户， 其 
实 病毒 并 没有 对 计算 机 进行 任何 破坏 。 例 如 女 鬼 病毒 (Joke.Girlghost)。 

(10) 捆绑 机 病毒 ， 其 前 级 是 Binder， 这 类 病毒 的 共同 特征 是 病毒 作者 使 用 特定 的 捆绑 程 
序 将 病毒 与 一 些 应 用 程序 (如 QQ、 正 等 ) 捆绑 起 来 ， 表 面 上 看 是 一 个 正常 文件 。 当 用 户 运行 
捆绑 了 病毒 的 程序 时 ， 表 面 上 运行 的 是 应 用 程序 ， 实 际 上 隐藏 地 运行 了 捆绑 在 一 起 的 病毒 ， 从 而 给 
用 户 造成 危害 。 例 如 捆绑 QQ 病毒 (BinderQQPassQQBin)、 系 统 杀 手 病毒 (Binderkillsys) 等 。 

另外 ， 还 有 一 些 特殊 病毒 值得 一 提 ， 例 如 DoS 病毒 会 针对 某 台 主机 或 者 服务 器 进行 DoS 
攻击 ;Exploit 病毒 会 通过 溢出 系统 漏洞 来 传播 自身 ,或 者 其 本 身 就 是 一 个 用 于 Hacking 的 溢出 
工具 ; HackTool 是 一 种 黑客 工具 ， 也 许 它 本 身 并 不 破坏 用 户 的 机 器 ， 但 是 会 被 别人 利用 ， 动 持 
用 户 去 破坏 其 他 人 。 

病毒 名 称 可 以 帮助 用 户 判断 病毒 的 基本 情况 ,在 杀毒 程序 无 法 自动 查 杀 打算 采用 手工 方式 
查 杀 病毒 时 ， 病 毒 名 称 提 供 的 信息 会 对 查 杀 病毒 有 所 帮助 。 


8.12.2 ”计算 机 病毒 防护 


1. 反 病 毒 的 方法 


病毒 和 反 病毒 技术 是 相生 相克 ， 共 同 进步 的 。 早 期 的 病毒 是 相对 简单 的 代码 片段 ， 可 以 使 
用 相对 简单 的 反 病毒 软件 包 进行 标识 和 清除 。 随 着 时 间 的 推移 ， 病 毒 和 反 病 毒 软件 都 变 得 越 来 
越 复杂 ， 反 病毒 软件 也 经 历 了 4 个 阶段 。 

(1) 简单 的 扫描 程序 〈 第 一 代 )。 使 用 扫描 程序 对 文件 进行 扫描 ， 通 过 病毒 的 签名 或 特征 
码 来 识别 病毒 。 然 而 ， 在 病毒 的 “进化 ”过 程 中 ， 病 毒 的 签名 或 特征 码 变 的 越 来 越 难以 捉摸， 
病毒 可 能 包含 “通配符 ”。 因 此 ， 根 据 签名 或 者 特征 码 以 扫描 病毒 ， 只 能 检测 到 已 知 的 病毒 。 
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对 于 未 知 病毒 和 病毒 的 变种 ， 变 得 无 能 为 力 或 者 极 大 的 耗费 扫描 时 间 。 

(2) 启发 式 的 扫描 程序 (第 二 代 )。 不 依赖 专门 的 签名 。 相 反 ， 扫 描 程序 使 用 启发 式 的 规 
则 来 搜索 可 能 的 病毒 感染 ， 这 种 扫描 程序 的 一 个 类 别 是 查找 经 常 和 病毒 联系 在 一 起 的 代码 段 。 
另 一 种 第 二 代 方 法 是 完整 性 检查 ， 可 以 为 每 个 程序 附加 检验 和 ， 如 果 病 毒 感染 了 程序 ， 但 没有 
修改 检验 和 ， 那 么 一 次 完整 性 检查 将 会 抓 住 变化 。 为 了 对 付 可 以 在 感染 程序 时 修改 检验 和 的 复 
杂 病 毒 ， 可 以 使 用 加 密 的 散 列 函数 。 加 密 密 钥 和 程序 分 开 存放 ， 使 得 病毒 不 能 生成 新 的 散 列 代 
码 并 对 其 加 密 。 通 过 使 用 散 列 函数 而 不 是 更 简单 的 检验 和 ， 可 以 避免 病毒 像 以 前 一 样 调整 程序 
来 产生 同样 散 列 代码 。 

(3) 行为 陷阱 〈 第 三 代 )。 这 是 一 些 存储 器 驻 留 程序 ， 它 们 通过 病毒 的 动作 而 不 是 通过 其 
在 被 感染 程序 中 的 结构 来 识别 病毒 。 这 样 的 程序 的 优点 在 于 它 不 必 为 数量 巨大 的 病毒 开发 签名 
和 启发 式 规则 ， 相 反 ， 只 需 识别 一 个 小 的 指示 了 感染 正在 进行 的 动作 集合 ， 然 后 进行 干涉 。 

(4) 全 方位 的 保护 第 四 代 )。 这 是 一 些 由 不 同 的 联合 使 用 的 反 病 毒 技术 组 成 的 软件 包 。 
这 些 技术 中 包括 了 扫描 和 行为 陷阱 构件 。 另 外 ， 这 样 的 软件 包括 了 访问 控制 能 力 ， 它 同时 限制 
了 病毒 渗透 系统 的 能 力 和 病毒 对 文件 进行 修改 的 能 力 。 


2. 先进 的 反 病毒 技术 


更 加 先进 的 反 病毒 方法 和 产品 不 断 出 现 ， 主 要 如 下 。 

1) 类 属 解密 (Generic Decryption，GD) 

使 得 反 病 毒 程序 可 以 容易 地 检测 出 甚至 是 最 复杂 的 多 形 病 毒 ， 同 时 保持 快速 的 扫描 速度 。 
考虑 当 包含 一 个 多 形 病 毒 的 文件 在 执行 时 ， 病 毒 必须 解密 自身 来 激活 。 为 了 检测 这 样 的 结构 ， 
可 执行 文件 通过 GD 扫描 来 运行 。 设 计 GD 扫描 器 最 困难 的 问题 就 是 确定 每 一 次 解释 运行 多 长 
时 间 。 和 典型 的 ， 程 序 开始 执行 之 后 很 快 就 会 激活 病毒 部 分 ， 但 这 个 需求 并 不 总 是 成 立 的 。 扫 描 
模拟 一 个 程序 的 时 间 越 长 ， 它 就 越 可 能 抓 住所 有 隐藏 的 病毒 。 但 是 ， 反 病毒 程序 只 可 以 花费 有 
限 的 时 间 和 资源 ， 和 否则 用 户 就 会 抱怨 。 

2) 数字 免疫 系统 

数字 免疫 系统 是 IBM 开发 的 一 个 病毒 保护 的 综合 方法 ， 开 发 这 个 系统 的 动机 是 基于 因 特 
网 的 病毒 繁殖 日 益 增长 的 威胁 。 该 系统 对 前 述 的 程序 模拟 的 使 用 进行 了 扩展 ， 提 供 了 一 个 通用 
的 模拟 和 病毒 检测 系统 。 其 目标 是 提供 快速 的 相应 时 间 , 使 得 病毒 被 引入 时 立刻 就 能 识别 出 来 。 
当 一 个 新 病毒 进入 一 个 组 织 时 ， 免 疫 系统 自动 地 抓 住 它 、 分 析 它 ， 为 它 增 加 检测 和 隔离 物 ， 删 
除 它 并 且 将 有 关 这 个 病毒 的 信息 传递 给 运行 着 的 BM AntiVirus 系统 ， 使 得 病毒 在 其 他 地 方 运 
行 之 前 能 被 检测 出 来 。 
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8.13 入侵 检测 


8.13.1 人 侵 检测 系统 概述 


入 侵 检测 系统 〈Intrusion Detection System，IDS) 作为 防火 墙 之 后 的 第 二 道 安 全 屏障 ， 通 
过 从 计算 机 系统 或 网 络 中 的 若干 关键 点 收集 网 络 的 安全 日 志 、 用 户 的 行为 、 网 络 数据 包 和 审计 
记录 等 信息 并 对 其 进行 分 析 ， 从 中 检查 是 否 有 违反 安全 策略 的 行为 和 遭 到 入 侵 攻 击 的 迹象 ， 入 
侵 检 测 系统 根据 检测 结果 ， 自 动 做 出 响应 。IDS 的 主要 功能 包括 对 用 户 和 系统 行为 的 监测 与 分 
析 、 系 统 安全 漏洞 的 检查 和 扫描 、 重 要 文件 的 完整 性 评估 、 己 知 攻击 行为 的 识别 、 异 常 行为 模 
式 的 统计 分 析 、 操 作 系统 的 审计 跟踪 ， 以 及 违反 安全 策略 的 用 户 行为 的 检测 等 。 入 侵 检测 通过 
实时 地 监控 入 侵 事件 ， 在 造成 系统 损坏 或 数据 丢失 之 前 阻止 入 侵 者 进一步 的 行动 ， 使 系统 能 尽 
可 能 的 保持 正常 工作 。 与 此 同时 ，IDS 还 需要 收集 有 关 入 侵 的 技术 资料 ， 用 于 改进 和 增强 系统 
抵抗 入 侵 的 能 力 。 

1. 人 入侵 检 测 系统 的 框架 结构 


美国 国防 部 高 级 研究 计划 局 (DARPA) 提出 的 公共 入 侵 检测 框架 (Common Intrusion 
Detection Framework，CIDF) 由 4 个 模块 组 成 ， 如 图 8-40 所 示 。 


| 事件 或 反应 
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图 8-40 ”CIDF 体系 结构 
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(1) 事件 产生 器 (Event generators，E-boxes) 。 负 责 数据 的 采集 ， 并 将 收集 到 的 原始 数据 
转换 为 事件 ， 向 系统 的 其 他 模块 提供 与 事件 有 关 的 信息 。 入 侵 检测 所 利用 的 信息 一 般 来 自 4 个 
方面 : 系统 和 网 络 的 日 志文 件 、 目 录 和 文件 中 不 期 望 的 改变 、 程 序 执行 中 不 期 望 的 行为 、 物 理 
形式 的 入 侵 信 息 。 入 侵 检测 要 在 网 络 中 的 若干 关键 点 〈 不 同 网 段 和 不 同 主机 ) 收集 信息 ， 并 通 
过 多 个 采集 点 信息 的 比较 来 判断 是 否 存在 可 疑 迹 象 或 发 生 入 侵 行为 。 

(2) 事件 分 析 器 (Event Analyzers，A-boxes) 。 接 收 事件 信息 并 对 其 进行 分 析 ， 判 断 是 否 
为 入 侵 行 为 或 异常 现象 ， 分 析 方 法 有 下 面 3 种 。 

@ 模式 匹配 。 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 数据 库 进行 比较 ， 从 而 发 现 违背 安全 策 
略 的 行为 。 

@ 统计 分 析 。 首 先 给 系统 对 象 〈 例 如 用 户 、 文 件 、 目 录 和 设备 等 ) 建立 正常 使 用 时 的 特 
征文 件 (Profile) ， 这 些 特征 值 将 被 用 来 与 网 络 中 发 生 的 行为 进行 比较 。 当 观察 值 超出 正常 值 
范围 时 ， 就 认为 有 可 能 发 生 入 侵 行为 。 

@ 数据 完整 性 分 析 。 主 要 关注 文件 或 系统 对 象 的 属性 是 否 被 修改 ， 这 种 方法 往往 用 于 事 
后 的 审计 分 析 。 

(3) 事件 数据 库 〈Event DataBases，D-boxes) 。 存 放 有 关 事 件 的 各 种 中 间 结 果 和 最 终 数据 
的 地 方 ， 可 以 是 面向 对 象 的 数据 库 ， 也 可 以 是 一 个 文本 文件 。 

(4) 响应 单元 (Response units，R-boxes) 。 根 据 报 警 信息 做 出 各 种 反应 ， 强 烈 的 反应 就 
是 断 开 连 接 、 改 变 文件 属性 等 ， 简 单 的 反应 就 是 发 出 系统 提示 ， 引 起 操作 人 员 注 意 。 

入 侵 检测 系统 是 一 个 监听 设备 , 无 须 跨 接 在 任何 链 路 上 , 不 产生 任何 网 络 流量 便 可 以 工作 。 
因此 ， 对 IDS 部 署 的 唯一 要 求 是 应 当 挂 接 在 所 关注 流量 必须 流 经 的 链 路 上 。 在 这 里 ，“ 所 关注 
流量 ” 指 的 是 来 自 高 危 网 络 区 域 的 访问 流量 以 及 需要 统计 、 监 视 的 网 络 报 文 。 目 前 的 网 络 都 是 
交换 式 的 拓扑 结构 ， 因 此 一 般 选 择 在 尽 可 能 靠近 攻击 源 ， 或 者 尽 可 能 接近 受 保护 资源 的 地 方 ， 
这 些 位 置 通常 是 : 

(1) 服务 器 区 域 的 交换 机 上 。 

(2) Internet 接 入 路 由 器 之 后 的 第 一 台 交 换 机 上 。 

(3) 重点 保护 网 段 的 局 域 网 交换 机 上 。 

典型 的 入 侵 检 测 系统 的 部 署 方式 如 图 8-41 所 示 。 


2. 入侵 检测 系统 的 数据 源 


根据 不 同 的 数据 源 ，IDS 所 使 用 的 入 侵 检测 技术 也 有 所 不 同 ， 目 前 ， 对 于 入 侵 检测 所 分 析 
的 数据 源 有 以 下 几 种 来 源 。 
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图 8-41 IDS 的 部 署 


1) 操作 系统 审计 记录 

计算 机 的 操作 系统 对 与 用 户 使 用 计算 机 的 过 程 ， 会 有 相应 的 记录 。 最 早 用 于 入 侵 检测 系统 
分 析 的 数据 源 来 自 于 操作 系统 的 审计 子 系统 所 产生 的 审计 记录 。 它 记录 了 系统 的 活动 信息 ， 如 
用 户 进程 所 执行 的 命令 和 系统 调用 类 型 等 。 由 于 审计 子 系统 对 审计 记录 采取 了 保护 机 制 ， 从 而 
使 用 审计 记录 作为 检测 数据 是 安全 可 靠 的 。 

2) 操作 系统 日 志 

操作 系统 日 志 是 操作 系统 生成 的 与 主机 信息 相关 的 日 志文 件 ， 记 录 系 统 中 硬件 、 软 件 和 系 
统 问 题 的 信息 ， 同 时 还 可 以 监视 系统 中 发 生 的 事件 。 包 括 系 统 日 志 、 应 用 程序 日 志和 安全 日 志 。 
可 以 通过 它 来 检查 错误 发 生 的 原因 ， 或 者 寻找 受到 攻击 时 攻击 者 留 下 的 痕迹 。 尽 管 较 之 于 系统 
的 审计 记录 ， 其 自身 的 安全 性 有 所 欠缺 ， 但 由 于 它 较 为 完整 的 记录 了 系统 中 发 生 的 事情 ， 且 容 
易 处 理 ， 因 而 成 为 入 侵 检测 的 数据 源 之 一 。 

3) 网 络 数据 

网 络 数 据 源 是 指 流 经 网 络 接口 的 网 络 数据 包 和 网 络 连 接 的 记录 总 和 。 

基于 网 络 数据 包 的 检测 主要 是 分 析 包 的 协议 字段 和 负载 内 容 ， 以 数据 包 作为 检测 数据 源 可 
以 从 报 文 级 发 现 入 侵 ， 但 随 着 网 络 应 用 的 不 断 增多 ， 网 络 中 的 数据 包 和 连接 数量 也 在 以 指数 级 
递增 ， 因此， 这 类 数据 源 对 于 数据 的 分 析 和 处 理 的 量 级 也 会 随 之 增 大 ， 与 此 同时 ， 单 个 数据 包 
能 提供 的 有 效 检测 信息 量 也 较 少 。 
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网 络 连接 记录 来 自 于 会 话 连接 记录 , 每 一 个 连接 记录 用 一 个 特征 向 量 表示 , 相 比 于 数据 包 ， 
它 能 提供 更 多 的 入 侵 检测 信息 ， 适 合 进行 异常 检测 。 基 于 网 络 数据 源 的 入 侵 检测 可 以 发 现 许多 
基于 主机 数据 源 无 法 发 现 的 攻击 ， 同 时 由 于 是 通过 网 络 监听 的 方式 来 获取 网 络 数据 ， 因 此 对 监 
控 系 统 的 性 能 没有 影响 ， 由 于 嗅 探 器 模块 的 工作 方式 对 网 络 用 户 是 透明 的 ， 因 而 其 本 身 被 入 侵 
可 能 性 不 大 。 

检测 目标 决定 了 入 侵 检测 系统 应 该 使 用 的 数据 源 类 别 ， 例 如 ， 对 于 主机 异常 活动 的 监测 ， 
需要 使 用 主机 数据 作为 入 侵 检测 的 数据 源 ， 要 监测 网 络 中 的 攻击 ， 则 需要 采用 来 自 于 网 络 数据 
包 和 网 络 连接 的 信息 作为 分 析 数 据 源 。 


3. 入 侵 检测 系统 的 分 类 


根据 入 侵 检 测 系统 的 信息 来 源 ，IDS 可 分 为 基于 主机 的 IDS (HIDS) 、 基 于 网 络 的 IDS 以 
及 分 布 式 的 IDS (NIDS) ， 对 这 几 种 IDS 的 特点 分 析 如 下 。 

1) 基于 主机 的 入 侵 检测 系统 (HIDS) 

这 是 对 针对 主机 或 服务 器 的 入 侵 行为 进行 检测 和 响应 的 系统 。 这 是 安装 在 被 保护 的 主机 或 
者 服务 器 上 ， 用 以 保护 主机 不 受到 入 侵 攻 击 。 通 过 监视 主机 系统 中 的 审计 记录 、 进 程 调用 、 系 
统 日 志 来 完成 对 入 侵 行为 的 检测 。 

它 的 优点 是 不 需要 额外 的 硬件 ， 性 价 比 较 高 ， 检 测 更 加 细致 ， 误 报 率 比较 低 ， 适 用 于 加 密 
和 交换 的 环境 ， 对 网 络 流量 不 敏感 ， 而 且 可 以 确定 攻击 是 否 成 功 。 

它 的 缺点 也 很 明显 。 首 先 ， 由 于 HIDS 依赖 于 主机 内 建 的 日 志 与 监控 能 力 ， 而 主机 审计 信 
息 易 于 受到 攻击 ， 入 侵 者 甚至 可 设法 逃避 审计 ， 所 以 这 种 入 侵 检测 系统 的 可 靠 性 不 是 很 高 。 其 
次 ，HIDS 只 能 对 主机 的 特定 用 户 、 特 定 应 用 程序 和 日 志文 件 进行 检测 ， 所 能 检测 到 的 攻击 类 
型 受到 一 定 的 限制 。 最 后 ，HIDS 的 运行 或 多 或 少 会 影响 主机 的 性 能 , 全 面部 署 HDS 成 本 也 比 
较 大 。 

2) 网 络 入 侵 检 测 系统 (NIDS) 

这 是 针对 整个 网 络 的 入 侵 检 测 系统 , 包括 对 网 络 中 的 所 有 主机 和 交换 设备 进行 入 侵 行为 的 
监测 和 响应 ， 其 特点 是 利用 工作 在 混杂 模式 下 的 网 卡 来 实时 监听 整个 网 段 上 的 通信 业务 。 

它 的 优点 是 隐蔽 性 好 ， 不 影响 网 络 业务 流量 。 由 于 实时 检测 和 响应 ， 所 以 攻击 者 不 容易 转 
移 证 据 ， 会 留 下 蛛丝马迹 ， 并 且 能 够 检测 出 未 获 成 功 的 攻击 企图 。 

它 的 缺点 是 只 检测 直接 连接 的 网 络 段 的 通信 ， 不 能 检测 到 不 同 网 段 的 数据 包 ， 在 交换 式 以 
太 网 环境 中 会 出 现 检测 范围 的 局 限 性 。 另 外 ，NIDS 在 实时 监控 环境 下 很 难 实现 对 复杂 的 、 需 
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要 大 量 计算 与 分 析 时 间 的 攻击 的 检测 。 例 如 ， 网 络 中 的 有 些 会 话 过 程 是 经 过 加 密 的 ， 这 对 于 实 
时 工作 的 NIDS 也 难于 处 理 。 

3) 分 布 式 入 侵 检测 系统 (DIDS) 

由 分 布 在 网 络 各 个 部 分 的 多 个 协同 工作 的 部 件 组 成 ， 分 别 完成 数据 采集 、 数 据 分 析 和 入 侵 
响应 等 功能 ， 并 通过 中 央 控 制 部 件 进行 入 侵 检测 数据 的 汇总 和 数据 库 的 维护 ， 协 调 各 个 部 分 的 
工作 。 这 种 系统 比较 庞大 ， 成 本 较 高 。 

按照 入 侵 检测 系统 的 相应 方式 的 不 同 ， 可 以 将 入 侵 检测 系统 分 为 实时 检测 和 非 实 时 检测 
两 种 。 

1) 实时 检测 

也 称 为 在 线 检测 ， 它 通过 实时 对 网 络 中 的 流量 、 主 机 上 的 审计 记录 以 及 系统 日 志 、 应 用 程 
序 日 志 等 信息 进行 监测 并 分 析 ， 来 发 现 网 络 中 是 否 存 在 攻击 行为 。 在 高 速 网 络 中 ， 由 于 网 络 中 
的 数据 量 较 大 ， 这 种 检测 效率 难以 令 人 满意 ， 但 随 着 计算 机 硬件 速度 和 计算 机 性 能 的 提高 ， 对 
入 侵 行为 进行 实时 检测 和 响应 成 为 可 能 。 

2) 非 实时 检测 

也 称 为 离线 检测 ， 它 通常 是 对 一 段 时 间 内 的 被 检测 数据 进行 分 析 来 发 现 入 侵 攻 击 ， 并 做 出 
相应 的 处 理 。 非 实时 的 离线 批 处 理 方式 虽然 不 能 及 时 发 现 入 侵 攻 击 ， 但 它 可 以 运用 复杂 的 分 析 
方法 发 现 某 些 实时 方式 不 能 发 现 的 入 侵 攻 击 ， 可 一 次 分 析 大 量 事件 ， 系 统 的 成 本 更 低 。 

按照 数据 分 析 的 技术 和 处 理 方式 ,可 以 将 入 侵 检测 系统 分 为 异常 检测 、 误 用 检测 和 混合 检 
测 3 种 。 

1) 异常 检测 

异常 检测 的 基本 思想 是 ， 建 立 并 不 断 更 新 和 维护 系统 正常 行为 的 轮廓 ， 定 义 报警 阐 值 ， 对 
网 络 中 用 户 的 行为 进行 检测 ， 将 其 与 系统 正常 行为 轮廓 进行 对 比 ， 差 异 程度 超过 定义 报警 阐 值 
的 行为 ， 将 发 出 报警 。 

异常 检测 由 于 不 是 根据 攻击 的 特征 来 对 异常 行为 进行 监测 和 识别 的 ， 因 此， 异常 检测 不 仅 
对 于 已 知 的 攻击 进行 检测 ， 也 能 够 检测 出 之 前 从 未 出 现 过 的 攻击 ， 通 用 性 较 强 。 然 而 ， 从 未 出 
现 过 的 行为 并 非 都 是 入 侵 行为 ， 因 此 ， 此 种 检测 方式 可 能 会 将 监测 到 的 行为 认定 为 入 侵 行 为 ， 
从 而 发 生 误 警 的 现象 。 这 也 就 是 异常 检测 最 大 的 不 足 之 处 。 

2) 误 用 检测 

误 用 检测 是 通过 对 已 知 的 入 侵 行为 进行 特征 提取 ， 并 建立 相应 的 入 侵 模式 ， 从 而 形成 入 侵 
模式 库 ， 将 待 建 数据 与 模式 库 进 行 特征 匹配 或 者 规则 匹配 来 区 分 一 个 行为 是 否 为 入 侵 行 为 。 

然而 ， 由 于 模式 库 中 的 信息 是 对 已 知 攻击 进行 模式 提取 形成 的 ， 因 此 误 用 检测 对 于 已 知 入 
侵 行为 的 检测 准确 率 较 高 ， 漏 检 率 低 ， 这 样 对 于 入 侵 行 为 的 防护 和 报警 ， 会 较为 及 时 ， 但 是 误 
用 检测 的 做 大 缺点 在 于 ， 对 于 未 知 入 侵 的 检测 准确 率 较 低 ， 同 时 ， 误 用 检测 对 于 系统 的 依赖 性 
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较 强 ， 要 做 到 高 检 出 率 ， 需 及 时 的 对 模式 库 进行 维护 和 更 新 。 

3) 混合 检测 

所 谓 混 合 检测 就 是 对 以 上 两 种 检测 方法 进行 综合 ， 取 长 补 短 的 一 种 检测 方法 。 利 用 异常 检 
测 对 未 知 入 侵 行为 的 较 好 的 识别 ， 但 误 警 率 高 ， 而 误 用 检测 对 于 未 知 入 侵 行为 的 检 出 率 较 低 ， 
漏 警 率 高 的 特点 ， 在 对 一 个 网 络 行为 做 出 判别 之 前 ， 对 待 检 系统 的 正常 模型 和 异常 模型 均 进行 
检测 ， 以 期 达到 更 高 、 更 全 面 的 判断 。 


4. 检测 模型 的 性 能 评价 指标 


评价 一 个 入 侵 检 测 系统 的 性 能 ， 一 般 从 两 个 方面 进行 考量 ， 检 测 的 有 效 性 和 检测 的 速率 。 
其 中 , 检测 的 有 效 性 是 指 检测 结果 的 精度 和 报警 的 可 信 度 ,一般 使 用 混淆 矩阵 来 表示 。 如 表 8-1 
所 示 。 


表 8-1 入 侵 检测 系统 性 能 评估 和 矩阵 





[xi 

在 表 8-1 中 ，a 表示 一 个 实际 为 入 侵 行 为 的 检测 结果 为 入 侵 行 为 记录 的 数量 ， 表 明 检 测 的 
结果 准确 的 情况 ; 5b 表示 入 侵 行为 被 认为 是 正常 连接 记录 的 数量 ; c 表示 正常 连接 被 检测 为 入 侵 
行为 记录 的 数量 ;4 表示 正常 连接 被 检测 为 正常 连接 记录 的 数量 。 

一 般 以 以 下 几 种 指标 来 对 入 侵 检测 系统 的 性 能 进行 考量 和 评价 。 

(1) 检 出 率 ， 是 指 一 个 入 侵 行 为 被 检 出 的 数量 在 所 有 入 侵 行为 中 所 占 的 百分比 ， 使 用 以 下 


公式 计算 : 检 出 来 = 一 
(2) 虚 警 率 , 是 指 一 个 正常 连接 被 检测 为 入 侵 行为 的 数量 在 所 有 正常 连接 中 所 占 的 百分比 ， 





实际 情况 














使 用 以 下 公式 计算 : 虚 敬 率 = 一 。 

(3) 漏 警 率 , 是 指 一 个 入 侵 行为 被 检测 为 正常 连接 的 数量 在 所 有 入 侵 行为 中 所 占 的 百分比 ， 
使 用 以 下 公式 计算 : 漏 千 率 = 一 。 

(4) 查 准 率 ， 指 在 被 检测 为 入 侵 攻击 记录 总 数 中 实际 为 入 侵 攻 山 记录 所 占 的 百分比 ， 使 用 
以 下 公式 计算 : 查 准 率 = 一 一 。 





(5) 查 全 率 , 指 入 侵 攻 击 记录 被 正确 检测 为 入 侵 攻击 的 数量 山 入 侵 攻击 总 记录 数 的 百分比 ， 
意味 着 在 所 有 的 入 侵 攻击 中 ， 有 多 大 的 可 能 性 能 被 检测 识别 出 来 ， 使 用 以 下 公式 计算 : 
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a 


查 全 率 = 一 。 
(6) 准确 率 ， 对 网 络 行为 正确 分 类 所 占 的 百分比 来 衡量 ,为 检测 类 别 正确 的 记录 数 占 参与 


检测 的 总 记录 数 的 百分比 ， 准 确 率 = 一 0+ 一， 
a+D+c+d 





8.13.2 ”人 侵 检 测 技术 
目前 ， 入 侵 检 测 技术 分 为 异常 检测 和 误 用 检测 两 种 。 
1. 异常 检测 


是 将 网 络 行为 分 为 正常 的 网 络 连接 和 异常 网 络 活动 两 种 ,而 异常 检测 是 把 入 侵 行为 看 作 是 
异常 活动 的 一 个 子 集 ， 通 过 监测 网 络 用 户 在 网 络 上 的 行为 的 特征 来 判断 是 否 遭 到 了 入 侵 。 基 于 
异常 检测 常用 的 检测 方法 有 以 下 几 种 。 

1) 基于 统计 的 异常 检测 方法 

基于 统计 的 入 侵 检测 方法 是 通过 对 已 知 用 户 行为 的 统计 ， 建 立 用 户 行为 模型 数据 库 ， 并 依 
据 用 户 行为 模型 数据 库 , 对 网 络 中 用 户 的 行为 进行 比 对 , 以 判断 一 个 网 络 行为 是 否 为 入 侵 行 为 。 

2) 基于 聚 类 分 析 的 异常 检测 方法 

聚 类 方法 是 指 将 数据 中 不 同类 别 的 数据 进行 集合 ， 由 于 在 集合 中 的 成 员 具 有 较为 类 似 特 
征 ， 所 以 可 以 以 此 区 分 异常 用 户 类 ， 从 而 推断 并 检测 网 络 入 侵 行为 。 

3) 基于 神经 网 络 的 异常 检测 方法 

神经 网 络 是 有 大 量 信息 处 理 单元 组 成 ， 实 现 复杂 的 映射 方程 函数 ， 通 过 对 多 个 输入 信息 的 
处 理 仅 产生 一 个 输出 ， 是 一 种 模拟 人 脑 在 对 信息 的 存储 、 处 理 和 加 工 过 程 中 的 方式 。 对 数据 信 
息 具 有 识别 、 分 类 和 归纳 的 能 力 。 因 此 ， 基 于 神经 网 络 的 入 侵 检测 系统 可 以 适应 用 户 行为 特征 
的 复杂 多 变性 ， 从 而 能 够 从 检测 出 的 数据 的 分 析 中 ， 确 定 是 否 存在 入 侵 行为 。 

用 户 入 侵 检测 系统 的 用 户 行为 模式 特征 数据 库 ， 也 可 通过 神经 网 络 来 提取 和 建立 。 


2. 误 用 检测 


误 用 检测 技术 的 研究 从 20 世纪 90 年 代 中 期 就 开始 了 。 它 首先 对 已 知 的 入 侵 行 为 的 特征 进 
行 编码 ， 用 已 建立 入 侵 行为 的 特征 数据 库 ， 在 对 入 侵 检 测 过 程 中 得 到 的 待 测 数据 中 的 特征 进行 
分 析 ， 如 能 够 与 特征 数据 库 中 的 特征 匹配 ， 则 判定 为 入 侵 行 为 。 

1) 专家 系统 检测 法 

专家 系统 是 应 用 较为 广泛 的 误 用 检测 方法 , 例如 IDES、MIDAS、NIDES 和 CMDS 等 入 侵 
检测 系统 均 使 用 的 专家 系统 。 专 家 系统 是 将 已 知 的 入 侵 攻 击 行为 模式 进行 存储 ， 形 成 专家 知识 
库 ， 系 统 根据 该 知识 库 中 存储 的 模式 来 判断 一 个 网 络 行为 是 否 是 入 侵 攻 击 行为 。 
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2) 模式 匹配 检测 法 

模式 匹配 是 最 为 常见 的 一 种 误 用 检测 方法 ， 其 具有 检测 的 准确 率 高 等 特点 。 模 式 匹配 主要 
通过 对 网 络 中 的 数据 包 以 及 在 待 检 数 据 信 息 中 搜索 和 匹配 入 侵 特征 的 字符 或 字符 串 ， 来 判断 一 
个 网 络 行为 是 否 是 非法 攻击 行为 。 著 名 的 Snort 入 侵 检测 系统 就 是 采用 模式 匹配 技术 来 实现 入 
侵 检测 的 。 
8.13.3 ”人 侵 检测 技术 的 发 展 

入 侵 检测 技术 的 发 展 方向 包括 以 下 几 点 。 

1 分 布 式 入 侵 检测 


入 侵 检测 系统 的 架构 基本 上 包括 了 主机 及 网 络 型 ， 还 有 分 布 型 等 类 型 。 其 中 ， 主 机 型 入 侵 
检测 系统 和 网 络 型 入 侵 检测 系统 ， 皆 隶属 于 集中 式 的 系统 架构 。 从 入 侵 检测 面临 的 种 种 不 良 现 
象 发 现 ， 这 类 系统 已 经 被 网 络 系统 的 大 型 化 和 负责 话 逐 渐 淘 汰 ， 而 向 着 分 布 式 方向 发 展 。 


2. 智能 入 侵 检测 





伴随 着 当今 网 络 技术 的 不 断 发 展 ， 网 络 上 的 信息 量 也 在 逐渐 的 以 指数 级 递增 ， 这 就 要 求 入 
侵 检测 系统 能 够 具备 对 于 海量 数据 的 计算 能 力 ， 从 而 提高 性 能 、 降 低 成 本 的 智能 检测 算法 逐渐 
成 为 了 入 侵 检测 领域 研究 的 热点 。 由 于 入 侵 方 式 逐 步 的 趋 于 多 样 性 、 综 合 性 ， 研 究 人 员 已 将 智 
能 化 、 神 将 网 络 与 遗传 算法 等 应 用 到 入 侵 检 测 的 技术 中 ， 以 期 寻找 到 智能 化 的 、 具 有 自学 能 力 
和 自 适应 能 力 的 入 侵 检测 系统 。 


8.14 ”入 侵 防 御 系 统 


在 网 络 安全 领域 ， 入 侵 防御 系统 Intrusion Prevention System，IPS) 是 随 着 网 络 的 高 速 发 
展 而 产生 的 。IPS 是 在 入 侵 检 测 系统 (Intrusion Detection System，IDS) 的 基础 之 上 发 展 起 来 
的 ， 它 不 仅 具 有 入 侵 检 测 系统 检测 攻击 行为 的 能 力 ， 而 且 具 有 防火 墙 拦截 攻击 并 且 阻 断 攻 击 的 
功能 ， 但 是 IPS 并 不 是 IDS 的 功能 与 防火 墙 功 能 的 简单 组 合 ，IPS 在 攻击 响应 上 采取 的 是 主 
动 的 全 面 的 深层 次 的 防御 。 


8.14.1 人 侵 防 御 系 统 的 概念 


随 着 市 场 的 需求 的 变化 和 应 用 领域 的 不 同 ， 入 侵 防御 系统 在 具体 的 功能 实现 方面 ， 不 同 的 
系统 具有 不 同 的 特征 ， 但 是 其 核心 功能 是 检测 与 防御 。 目 前 对 入 侵 防御 系统 的 定义 也 是 多 种 多 
样 的 ， 一 种 定义 是 : 入 侵 防 御 系 统 是 一 种 抢先 的 网 络 安全 检测 和 防御 系统 ， 它 能 检测 出 攻击 并 
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快速 做 出 回应 。 还 有 一 种 对 IPS 的 定义 : IPS 是 一 种 能 够 检测 出 网 络 攻击 ， 并 且 在 检测 到 攻击 
后 能 够 积极 主动 响应 攻击 的 软 硬 件 网 络 系统 。 


8.14.2 ”入侵 防御 系统 与 人 侵 检 测 系统 的 区 别 


入 侵 检测 系统 有 效 地 弥补 了 防火 墙 系统 ， 对 网 络 上 的 入 侵 行为 无 法 识别 和 检测 的 不 足 ， 入 
侵 检测 系统 的 部 署 ， 使 得 在 网 络 上 的 入 侵 行 为 得 到 了 较 好 的 检测 和 识别 ， 并 能 够 进行 及 时 的 报 
警 。 然 而 ， 随 着 网 络 技术 的 不 断 发 展 ， 网 络 攻 击 类 型 和 方式 也 在 进行 着 巨大 的 变化 ， 入 侵 检 测 
系统 也 逐渐 的 暴露 出 如 漏 报 、 误 报 率 高 、 灵 活性 差 和 入 侵 响 应 能 力 较 弱 等 不 足 之 处 。 

入 侵 防御 系统 是 在 入 侵 检测 系统 的 基础 上 发 展 起 来 的 ， 入 侵 防御 系统 不 仅 能 够 检测 到 网 络 
中 的 攻击 行为 ， 同 时 主动 的 对 攻击 行为 能 够 发 出 响应 ， 对 攻击 进行 防御 。 两 者 相 较 ， 主 要 存在 
以 下 几 种 区 别 。 


1. 在 网 络 中 的 部 署 位 置 的 不 同 


IPS 一 般 是 作为 一 种 网 络 设备 串 接 在 网 络 中 的 ， 而 IDS 一 般 是 采用 旁 路 挂 接 的 方式 ， 连 接 
在 网 络 中 。 


2. 入 侵 响 应 能 力 的 不 同 





IDS 设备 对 于 网 络 中 的 入 侵 行为 ， 往 往 是 采用 将 入 侵 行为 记 入 日 志 ， 并 向 网 络 管理 员 发 出 
警报 的 方式 来 处 理 的 ， 对 于 入 侵 行为 并 无 主动 的 采取 对 应 措施 ， 响 应 方式 单一 ， 而 入 侵 防 御 系 
统 检测 到 入 侵 行为 后 ， 能 够 对 攻击 行为 进行 主动 的 防御 ， 例 如 丢弃 攻击 连接 的 数据 包 以 阻 断 攻 
击 会 话 ， 主 动 发 送 ICMP 不 可 到 达 数据 包 、 记 录 日 志和 动态 的 生成 防御 规则 等 多 种 方式 对 攻击 
行为 进行 防御 。 

8.14.3 1IPS 的 优势 与 局 限 性 


与 IDS 系统 相 比 较 ，IPS 具有 其 自身 的 特点 ， 其 优点 主要 表现 在 以 下 几 个 方面 。 

(1) 积极 主动 的 防御 攻击 。IPS 一 方面 能 够 对 攻击 行为 进行 检测 并 发 现 ， 同 时 对 攻击 行为 
采取 主动 的 防御 措施 。 

(2) 具有 较 深 的 防御 层次 。IPS 能 够 采取 多 种 方式 对 于 网 络 攻击 采取 防御 措施 ， 对 已 知 攻 
击 和 未 知 攻 击 均 具 有 较 强 的 检 出 率 ， 并 对 网 络 攻击 流量 和 网 络 入 侵 活动 进行 拦截 ， 通 过 重新 构 
建 协议 栈 和 对 数据 进行 重组 ， 发 现 隐 藏 在 多 个 数据 包 中 的 攻击 特征 ， 利 用 数据 挖掘 技术 ， 对 多 
个 数据 包 中 的 内 容 进行 分 析 、 鉴 别 ， 从 而 检测 出 深层 次 的 攻击 。 

其 不 足 之 处 主要 表现 在 以 下 几 个 方面 。 

(1) 容易 造成 单 点 故障 。IPS 设备 一 般 是 采用 串 接 的 方式 接 入 网 络 中 的 ， 如 果 IPS 设备 出 
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现 故 障 ， 对 网 络 的 可 用 性 将 会 造成 较 大 的 影响 ; 

(2) 漏 报 和 误 报 。 由 于 网 络 技术 的 不 断 发 展 、 网 络 攻击 形式 的 不 断 进化 和 改进 ， 其 隐蔽 性 
逐渐 提高 ， 而 对 于 入 侵 检测 系统 和 入 侵 防 御 系 统 均 面 临 着 在 入 侵 行 为 监测 中 的 漏 报 率 和 误 报 率 
较 高 的 情况 。 

(3) 性 能 瓶颈 。IPS 设备 传 接 在 网 络 环境 中 ， 需 要 对 实时 捕获 到 的 网 络 数据 流量 进行 分 析 
和 检测 ， 以 确定 是 否 为 攻击 数据 流量 和 连接 ， 这 样 的 现实 情况 ， 对 IPS 的 性 能 就 提出 了 较 高 的 
要 求 ，IPS 处 理 能 力 有 限 ， 就 会 对 网 络 性 能 和 网 络 监测 的 效率 产生 较 大 影响 ， 从 而 造成 网 络 拥 
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网 络 操作 系统 是 使 网 络 上 的 计算 机 能 方便 而 有 效 地 共享 网 络 资源 ,为 网 络 有 用户 提供 所 需 的 
各 种 服务 的 软件 和 有 关 规 程 的 集合 。 本 章 以 流行 的 网 络 操作 系统 Windows 和 Linux 为 例 ， 讲 述 
网 络 操作 系统 的 功能 以 及 应 用 服务 器 的 配置 。 


9.1 网 络 操作 系统 


9.1.1 Windows Server 2008 R2 操作 系统 


Windows Server 2008 是 专 为 强化 下 一 代 网 络 、 应 用 程序 和 Web 服务 的 功能 而 设计 的 操作 
系统 ，Windows Server 2008 R2 是 Windows Server 2008 的 升级 版 本 。 这 个 版 本 继续 提升 了 虚拟 
化 、 系 统管 理 弹性 以 及 信息 安全 等 领域 的 应 用 ， 是 一 款 仅 支持 64 位 的 操作 系统 ， 可 以 为 大 、 
中 或 小 型 企业 搭建 功能 强大 的 网 站 和 应 用 程序 服务 器 平台 。 

Windows Server 2008 R2 增强 了 核心 Windows Server 操作 系统 的 功能 ， 提 供 了 富有 价值 的 
新 功能 ， 以 协助 各 种 规模 的 企业 提高 控制 能 力 、 可 用 性 和 灵活 性 ， 适 应 不 断 变化 的 业务 需求 。 
新 的 Web 工具 、 虚 拟 化 技术 、 可 伸缩 性 增强 和 管理 工具 有 助 于 节省 时 间 、 降 低 成 本 ， 并 为 您 的 
信息 技术 〈IT) 基础 结构 黄 定 坚实 的 基础 。 其 新 增 功能 如 下 。 

(1) Web 应 用 程序 平台 。Windows Server 2008 R2 包含 了 许多 增强 功能 ， 从 而 使 该 版 本 成 
为 有 史 以 来 最 可 靠 的 Windows Server Web 应 用 程序 平台 。 该 版 本 提供 了 最 新 的 Web 服务 器 角 
色 和 Intemet 信息 服务 (IIS) 7.5 版 ， 并 在 服务 器 核心 提供 了 对 .NET 更 强大 的 支持 。IIS 7.5 的 
设计 目标 着 重 于 功能 改进 , 使 网 络 工程 师 可 以 更 轻松 地 部 署 和 管理 Web 应 用 程序 ， 以 增强 可 靠 
性 和 可 伸缩 性 。 另 外 ，IIS 7.5 简化 了 管理 功能 ， 并 为 自 定义 Web 服务 环境 提供 了 比 以 往 更 多 的 
方法 。IIS 7.5 在 以 下 4 个 方面 进行 了 改进 。 

@ 集成 扩展 。IIS 7.5 中 集成 了 WebDAV， 为 Web 服务 器 管理 员 提供 了 更 多 用 于 身份 验 
证 、 审 核 和 日 志 记录 的 选项 。 集 成 了 请 求 筛选 模块 〈 以 前 是 IS 7 的 扩展 ) 使 您 可 以 限制 或 阻 
止 特定 的 HTTP 请 求 ， 从 而 有 助 于 防止 可 能 有 害 的 请 求 到 达 服务 器 。 集 成 了 IIS Administration 
了 Pack 扩展 , 让 管理 可 视 化 而 且 更 加 集中 , 界面 更 加 友好 , 可 以 在 IS 管理 器 配置 编辑 器 和 UI 扩 
展 ， 可 帮助 管理 请 求 筛选 规则 、FastCGI 和 ASPNET 应 用 程序 设置 。 

@ 增强 管理 ， 提 供 了 最 佳 做 法 分 析 器 (BPA)、 用 于 Windows Power Shell 的 IS 模块 、 
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配置 日 志 记 录 和 跟踪 等 新 的 管理 工具 和 模块 。 最 佳 做 法 分 析 器 (BPA) 是 一 种 管理 工具 ， 使 用 
服务 器 管理 器 和 Windows PowerShell 可 以 访问 这 种 工具 。 通 过 扫描 IIS 7.5 Web 服务 器 并 在 发 
现 潜在 的 配置 问题 时 进行 报告 , BPA 可 以 帮助 管理 员 减 少 违背 最 佳 做 法 的 情况 。 用 于 Windows 
PowerShell 的 IIS 模块 是 一 个 Windows PowerShell 管理 单元 , 该 管理 单元 使 您 可 以 执行 IIS7 
管理 任务 ， 还 可 以 管理 IS 配置 和 运行 时 数据 。 此 外 ， 一 批 面向 任务 的 cmdlet 可 以 提供 管理 
网 站 、Web 应 用 程序 和 Web 服务 器 的 简单 方法 。 配置 日 志 记 录 和 跟踪 使 您 可 以 审核 对 IS 配 
署 的 访问 权限 ， 可 以 启用 事件 查看 器 中 可 用 的 任何 新 日 志 来 跟踪 成 功 或 失败 的 修改 。 

@ 应 用 程序 承载 增强 。IHS 7.5 是 一 种 更 加 灵活 和 可 管理 的 平台 ， 适 用 于 许多 类 型 的 Web 
应 用 程序 (如 ASPNET 和 PHP)， 它 提供 服务 强化 、 托 管 服务 账户 、 可 承载 Web 核心 、 用 
于 FastCGI 的 失败 请 求 跟踪 等 多 种 新 功能 ， 提 高 安全 性 和 改进 诊断 。 

@ 增强 了 对 服务 器 核心 的 .NET 支持 。Windows Server 2008 R2 的 服务 器 核心 安装 选项 
支持 .NET Framework 2.0、3.0、3.5.1 和 4.0。 这 表示 您 可 以 承载 ASPNET 应 用 程序 ， 可 以 在 
IS 管理 器 中 执行 远程 管理 任务 ， 还 可 以 在 本 地 运行 用 于 Windows PowerShell 的 IS 模块 中 
包含 的 cmdlet。 

需要 指出 的 是 ，IIS 7.5 在 默认 情况 下 并 不 会 被 安装 在 Windows Server 2008 R2 上 ， 这 需要 
管理 员 手 动 进行 安装 。 IIS 7.5 服务 器 界面 如 图 9-1 所 示 。 
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(2) 启用 服务 器 和 桌面 虚拟 化 一 一 Hyper-V。 虚 拟 化 是 当今 数据 中 心 的 主要 业务 之 一 ， 虚 
拟 化 所 提供 的 操作 便利 性 允许 组 织 动态 的 减少 操作 任务 以 及 能 源 消耗 。Hyper-V 提 供 了 客户 端 
虚拟 化 和 服务 器 端 虚拟 化 ， 主 要 功能 是 将 物理 计算 机 的 系统 资源 进行 虚拟 化 ， 计 算 机 虚拟 化 使 
用 户 能 为 操作 系统 和 应 用 提供 虚拟 化 的 环境 。HyperV 默 认 情 况 下 并 不 会 被 安装 在 Windows 
Server 2008 R2 上 ， 需 要 管理 员 手动 进行 安装 。HyperV 虚 拟 机 界面 如 图 9-2 所 示 。 
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(3) 可 靠 性 和 扩展 性 。Windows Server 2008 R2 拥 有 空前 的 负载 量 、 动 态 的 扩展 性 、 全 面 
的 可 用 性 和 可 靠 性 。 具 体 包括 如 下 。 

Q@ 精密 的 动态 CPU 调节 架构 : Windows Server 2008 R2 是 第 一 款 仅 支持 64 位 的 Windows 操 
作 系 统 。 一 方面 用 户 越 来 越 难 买 到 纯 32 位 的 服务 器 处 理 器 ， 另 一 方面 迁移 到 64 位 架构 可 以 在 性 
能 和 可 靠 性 方面 获得 了 大 量 的 受益 。 另 外 , 现在 Windows Server 2008 R2 在 一 个 操作 系统 实例 中 
可 以 支持 多 达 256 个 逻辑 处 理 器 核心 。Hyper-V 虚 拟 机 可 以 最 多 使 用 主机 处 理 器 池 中 的 64 个 迪 辑 
处 理 器 。Hyper-V R2 包含 一 项 新 功能 叫 作 处 理 器 兼容 功能 。 处 理 器 兼容 功能 允许 用 户 在 同一 
处 理 器 供应 商 的 前 后 多 代 处 理 器 间 移 动 。 当 虚拟 机 启动 的 时 候 开启 了 处 理 器 兼容 功能 , Hyper-V 
将 会 标准 化 处 理 器 特性 集 ， 只 暴露 给 客户 端 在 同一 处 理 器 架构 下 所 有 可 用 于 Hyper-V 的 处 理 器 
都 可 使 用 的 特性 ， 比 如 来 自 AMD 和 Intel 的 处 理 器 产品 。 这 项 功能 使 得 虚拟 机 可 以 在 同一 处 理 器 
架构 下 的 任意 硬件 平台 上 进行 迁移 。 这 项 功能 的 实现 是 依靠 Hypervisor 来 截断 虚拟 机 CPUID 指 
令 ， 并 清除 返回 的 通讯 字段 来 实现 将 物理 处 理 器 特性 进行 隐藏 。 

@ 增强 的 操作 系统 组 件 化 : Microsoft 引 入 服务 器 角色 概念 的 目的 就 是 让 服务 器 管理 员 可 
以 迅速 而 且 简单 的 在 任何 Windows 操 作 系统 服务 器 上 进行 操作 。 管 理 员 可 以 运行 一 个 指定 任务 
集 ， 从 系统 中 完全 移 除 掉 那 些 无 用 的 系统 代码 。Windows Server 2008 R2 的 特性 扩展 了 这 个 模 
式 使 之 支持 更 多 的 服务 器 角色 ， 并 且 扩 展 了 现 有 服务 器 角色 的 支持 。 

@ 应 用 和 服务 增强 的 性 能 和 扩展 性 : Windows Server 2008 R2 的 一 个 关键 设计 目标 就 是 在 
相同 的 系统 资源 下 ， 可 以 获得 比 早期 Windows Server 版 本 更 好 的 性 能 。 另 外 ，Windows Server 
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2008 R2 大 大 增加 的 性 能 , 使 得 用 户 可 以 比 以 前 任何 时 候 接受 更 大 的 工作 负载 , 同时 为 应 用 和 服 
务 带 来 了 性 能 和 扩展 性 的 增强 。 

@ 增强 的 存储 解决 方案 : 在 今天 ， 更 快 获取 信息 的 能 力 比 以 往 显 得 尤为 重要 。 这 些 高 速 
访问 的 基础 是 建立 在 文件 服务 和 网 络 连接 存储 (NAS) 上 的 。Microsoft 存 储 解决 方案 是 提供 文 
件 服务 和 NAS 的 最 佳 性 能 和 最 优 可 用 性 的 核心 一 环 。 已 经 发 布 的 Windows Server 2008 引 入 了 很 
多 对 存储 技术 的 改进 。Windows Server 2008 R2 再 度 对 存储 解决 方案 的 性 能 ， 可 用 性 ， 可 管理 
性 提供 的 改进 。 

@ 增强 的 企业 内 网 资源 保护 : 网 络 策略 服务 器 (NPS) 是 电话 拨号 用 户 服务 协议 服务 器 
(RADIUS) ， 代 理 服务 器 和 网 络 访问 保护 (NAP) 健康 策略 服务 器 的 集合 。NPS 为 NAP 客 户 端 
验证 系统 健康 度 ， 提 供 RADIUS 验 证 ， 授 权 和 记录 (AAA) ， 并 提供 RADIUS 代理 功能 。 

(4) 管理 增强 。 针 对 数据 中 心 内 的 服务 器 提供 持续 的 管理 是 当今 IT 管理 员 所 面 对 的 最 为 耗 
时 的 任务 。 用 户 部 署 的 任何 管理 策略 都 必须 同时 支持 用 户 的 物理 和 虚拟 化 环境 的 管理 。 Windows 
Server 2008 R2 的 一 个 设计 目标 就 是 减少 针对 Windows Server 2008 R2 的 持续 管理 以 及 减少 日 常 
操作 任务 的 管理 负担 。 这 些 管理 任务 可 以 在 服务 器 本 地 或 者 远程 执行 ， 具 体 包 括 如 下 。 

@ 增强 的 数据 中 心 电 源 消耗 管理 : 数据 中 心 内 的 物理 计算 机 的 增加 是 电源 消耗 增加 的 主 
要 原因 ， 很 多 数据 中 心 不 得 不 根据 其 数据 中 心 可 用 的 实际 电力 功 耗 来 限制 放置 在 该 数据 中 心里 
面 的 电脑 数量 ， 这 使 得 减少 计算 机 的 电源 消耗 可 以 为 数据 中 心 节约 费用 。 换 而 言 之 ,减少 了 能 
源 消耗 ， 使 得 数据 中 心 在 相同 甚至 比 以 前 更 少 的 能 源 消耗 下 ， 却 可 以 容纳 更 多 的 物理 计算 机 。 

@ 增强 的 文件 服务 管理 : 管理 存储 不 仅仅 是 简单 的 卷 和 可 用 性 ， 需 要 更 高 效 、 更 有 效 的 
对 他 们 的 数据 进行 管理 。Windows Server 2008 R2 所 提供 的 Windows 文件 系统 分 类 架构 (FCI) 
深刻 洞察 用 户 的 数据 ， 并 可 帮助 用 户 实现 管理 数据 更 有 效 ， 更 少 花费 ， 更 少 风险 。 

@ 增强 的 身份 管理 : 身份 管理 始终 是 以 Windows 为 基础 的 网 络 中 一 项 最 严峻 的 管理 任务 。 
对 于 任何 组 织 来 说 ， 一 个 管理 不 善 的 身份 管理 系统 ， 也 意味 着 一 个 最 大 的 安全 隐患 。Windows 
Server 2008 R2 增强 了 活动 目录 域 服务 和 活动 目录 联盟 服务 这 两 个 服务 器 角色 。 


9.1.2 ”Linux 操作 系统 简介 


Linux 是 一 个 支持 多 用 户 、 多 任务 、 多 进程 和 实时 性 较 好 的 功能 强大 而 稳定 的 操作 系统 ， 
也 是 目前 运行 硬件 平台 最 广泛 的 操作 系统 。Linux 最 大 的 特点 在 于 它 是 GNU 的 一 员 , 遵循 公共 
版 权 许可 证 (GPL) 及 开放 源 代码 的 原则 ， 从 而 使 其 成 为 发 展 最 快 、 拥 有 用 户 最 多 的 操作 系统 
六 二 

Red Hat Linux 是 目前 世界 上 使 用 最 多 的 Linux 操作 系统 家 族 成 员 ， 提 供 了 丰富 的 软件 包 ， 
具有 强大 的 网 络 服务 和 管理 功能 。Red Hat Enterprise Linux 7 是 Red Hat Linux 的 一 个 最 新 版 本 ， 
内 核 为 Kemel3.10， 它 在 原 有 的 基础 上 有 了 很 大 的 改进 ， 集 成 了 应 用 程序 虚拟 化 技术 Docker， 
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对 systemd 进程 管理 器 的 支持 , XFS 成 为 RHEL 默认 的 文件 系统 以 及 能 监控 系统 PCP 等 新 功能 
特性 ， 使 之 较 RHEL 6 在 功能 和 性 能 方面 有 很 大 提升 。 


9.2 ”网络 操作 系统 的 基本 配置 


9.2.1 Windows Server 2008 R2 本 地 用 户 与 组 


为 了 保障 计算 机 与 网 络 的 安全 ，Windows Server 2008 R2 为 不 同 的 用 户 设置 了 不 同 的 权限 ， 
同时 通过 将 具有 同一 权限 的 用 户 设置 为 一 个 组 来 简化 对 用 户 的 管理 。 使 用 “本 地 用 户 和 组 ” 功 
可 创建 并 管理 存储 在 本 地 计算 机 上 的 用 户 和 组 。 每 一 个 登录 到 NT Server 上 的 用 户 必须 有 一 
个 用 户 账号 (User Account)。 用 户 账号 包含 用 户 名 、 密 码 、 用 户 的 说 明和 用 户 权 限 等 信息 ， 通 
常 将 具有 相同 性 质 的 用 户 归结 在 一 起 ， 统 一 授权 , 组 成 用 户 组 (Group )。 用 户 组 的 权限 如 表 9-1 


所 示 。 
名 称 
Administrators 
Backup Operators 


Certificate Service DCOM Access 
Cryptographic Operators 
Distributed COM Users 

Event Log Readers 


Guests 


IIS IUSRS 
Network Configuration Operators 


表 9-1 用 户 组 权限 描述 


权限 描述 
管理 员 对 计算 机 / 域 有 不 受 限制 的 完全 访问 权 
备份 操作 员 为 了 备份 或 还 原文 件 可 以 替代 安全 限制 
允许 该 组 的 成 员 连 接 到 企业 中 的 证 书 颁发 机 构 
授权 成 员 执 行 加 密 操 作 
成 员 允 许 启动 、 激 活 和 使 用 此 计算 机 上 的 分 布 式 COM 对 象 
比 组 的 成 员 可 以 从 本 地 计算 机 中 读 取 事 件 日 志 
按 默认 值 ， 来 宾 和 用 户 组 的 成 员 有 同等 访问 权 ， 但 来 宾 账户 的 
限制 更 多 
Internet 信息 服务 使 用 的 内 置 组 
比 组 中 的 成 员 有 部 分 管理 权限 来 管理 网 络 功能 的 配置 





了 Performance Log Users 


比 组 的 成 员 可 以 远程 访问 此 计算 机 上 性 能 计数 器 的 日 志 





了 Performance Monitor Users 


比 组 的 成 员 可 以 远程 访问 以 监视 此 计算 机 





了 Power Users 


高 级 用 户 (Power Users) 拥有 大 部 分 管理 权限 ， 但 也 有 限制 。 
此 , 高 级 用 户 (Power Users ) 可 以 运行 经 过 验证 的 应 用 程序 ， 
也 可 以 运行 旧版 应 用 程序 


























Print Operators 成 员 可 以 管理 域 打印 机 

Remote Desktop Users 组 中 的 成 员 被 授予 远程 登录 的 权限 

Replicator 支持 域 中 的 文件 复制 

人 用 户 无 法 进行 有 意 或 无 意 的 改动 。 因 此 ， 用 户 可 以 运行 经 过 验 


证 的 应 用 程序 ， 但 不 可 以 运行 大 多 数 旧版 应 用 程序 
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Windows Server 2008 R2 本 地 用 户 与 组 的 创建 比较 简单 ， 选 择 “ 开 始 ” 一 “程序 ”一 “ 管 
理工 具 ” 一 “计算 机 管理 ”命令 ， 在 打开 的 窗口 选择 “本 地 用 户 和 组 ” 即 可 创建 并 管理 存储 在 
本 地 计算 机 上 的 用 户 和 组 。 


9.2.2 ”Windows Server 2008 R2 活动 目录 


自 Windows Server 2003 开始 , 放弃 了 NT 中 的 域 管理 方式 , 采用 目录 管理 技术 一 一 活动 目 
录 服 务 (Active Directory Service)。Windows Server 2008 R2 系统 沿用 活动 目录 服务 ， 活 动 目录 
采用 基于 LDAP 格式 的 系统 设计 ， 通 过 建立 层次 化 的 目录 结构 对 网 络 资源 进行 集中 管理 ， 大 大 
提高 了 系统 的 可 靠 性 和 易 用 性 。 


1. 活动 目录 的 基本 概念 


目录 是 任何 文件 系统 中 都 具有 的 功能 。 在 一 般 操 作 系统 中 ， 目 录 是 静态 的 、 集 中 存储 在 磁 
盘 中 的 系统 /用 户 信 息 。 活 动 目录 (Active Directory) 是 一 个 动态 的 分 布 式 文件 系统 ， 包 含 了 存 
储 网 络 信息 的 目录 结构 和 相关 的 目录 服务 。 活 动 目录 的 各 个 子 树 分 布地 存储 在 网 络 的 多 个 服务 
器 中 ， 并 且 可 以 自动 维护 信息 的 一 致 性 。 

活动 目录 存储 着 计算 机 网 络 的 配置 信息 和 安全 信息 , 这 些 信息 分 散 地 存储 在 网 络 中 的 多 个 
域 控 制 器 中 ， 由 多 个 网 络 管理 员 进 行 管理 和 维护 ， 操 作 系 统 对 活动 目录 中 的 信息 提供 备份 和 选 
择 性 的 复制 功能 ， 以 维护 信息 的 一 致 性 ， 并 提供 容错 能 力 。 

在 活动 目录 中 ， 对 象 的 名 字 采 用 DNS 域名 结构 ， 所 以 安装 活动 目录 需要 DNS 服务 器 的 支 
持 。 在 一 个 面向 对 象 的 树 型 目录 结构 中 ， 所 有 叶子 结 点 都 是 资源 对 象 ， 树 根 结 点 和 中 间 结 点 都 
是 容器 对 象 。 一 组 对 象 的 名 字 及 其 相关 信息 的 集合 构成 了 名 字 空 间 ， 名 字 空 间 是 进行 域名 解析 
的 边界 。 

全 局 目录 (Global Catalog) 是 包含 所 有 对 象 属性 信息 的 仓库 ， 活 动 目录 中 的 第 一 个 域 控制 
器 自动 成 为 全 局 目录 ， 为 了 加 速 登录 过 程 和 减少 通信 流量 ， 还 可 以 设置 另外 的 全 局 目录 。 

架构 (Schema) 是 活动 目录 中 的 对 象 模型 。 架 构 包 含 了 存储 在 活动 目录 中 的 所 有 对 象 的 定 
义 ， 也 决定 了 活动 目录 的 结构 及 其 存储 的 内 容 。 架 构 由 类 、 属 性 和 句法 的 集合 组 成 。 用 户 、 计 
算 机 和 打印 队列 都 是 活动 目录 中 的 类 的 例子 ， 用 户 账 号 Sue 和 Mary 则 是 用 户 类 的 实例 。 对 象 
Mary 可 以 包含 一 个 叫 作 电话 号 码 的 属性 ， 其 值 可 能 是 555-0101， 它 的 数据 类 型 (句法 ) 为 字 
符 串 类 型 或 者 数值 类 型 。 

架构 建立 的 对 象 模型 支持 轻型 目录 访问 协议 (Light Directory Access Protocol，LDAP)， 安 
装 了 活动 目录 客户 组 件 的 计算 机 通过 LDAPv3 访问 活动 目录 。 
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2. 活动 目录 的 逻辑 结构 


活动 目录 的 逻辑 结构 用 来 组 织 网 络 资源 。 域 是 活动 目录 的 核心 单元 ， 是 共享 同一 活动 目录 
的 一 组 计算 机 的 集合 。 域 是 安全 的 边界 ， 在 默认 情况 下 ， 一 个 域 的 管理 员 只 能 管理 自己 的 域 。 
一 个 域 的 管理 员 要 管理 其 他 的 域 ， 则 需要 专门 的 授权 。 域 也 是 复制 的 单位 ， 一 个 域 可 以 包含 多 
个 域 控制 器 ， 当 某 个 域 控制 器 的 活动 目录 数据 库 改变 以 后 ， 变 化 的 部 分 会 自动 复制 到 其 他 域 控 
制 器 中 。 

域 树 (Domain Tree) 是 域 的 集合 。 域 树 中 加 入 的 第 一 个 域 是 树 根 (root)， 其 后 加 入 的 每 一 
个 域 都 是 树 中 的 子 域 。 域 树 的 层次 越 深 ， 级 别 就 越 低 ， 一 个 句号 “.” 代 表 一 个 层次 。 域 树 中 的 
每 个 域 都 拥有 自己 的 目录 服务 数据 库 副 本 ， 用 来 保存 本 域 中 的 局 部 对 象 ， 所 有 的 子 域 共享 根 域 
的 共同 配置 和 全 局 目录 。 具 有 公用 根 域 的 所 有 域 构成 一 个 连续 的 名 字 空 间 ， 域 树 上 的 所 有 域 共 
享 相同 的 DNS 后 级 。 

域 林 (Domain Forest) 是 域 树 的 集合 ， 以 信任 关系 互相 联系 ， 共 享 一 个 公共 的 目录 模式 、 
配置 数据 和 全 局 目录 。 域 林 中 的 每 一 个 域 树 具有 独立 的 名 字 空 间 。 在 域 林 中 创建 的 第 一 个 域 树 
被 默认 为 根 树 (root tree)。 通 过 域 树 和 域 林 这 种 形式 的 组 合 ， 可 以 用 层次 结构 来 模拟 一 个 大 型 
企业 的 组 织 结构 。 

在 默认 情况 下 ， 一 个 在 域 A 中 的 用 户 ， 其 身份 的 有 效 性 也 只 限于 域 A。 通 过 在 域 A 和 域 B 
之 间 建 立 域 信任 关系 (Domain Trusts), 使 得 域 A 中 的 用 户 在 本 地 登录 后 能 够 获得 域 B 的 信任 。 
域 间 信任 关系 涉及 两 个 域 : 施 信 域 和 受信 域 。 施 信 域 将 自己 对 用 户 的 验证 委托 给 受信 域 ， 而 受 
信 域 对 用 户 身 份 有 效 性 的 验证 结果 得 到 施 信 域 的 认可 。 域 间 的 信任 关系 只 影响 用 户 身份 的 有 效 
范围 。 

域 是 管理 的 边界 ， 管 理 权限 不 会 跨越 域 边界 ， 也 不 会 通过 域 树 向 下 流动 。 例 如 ， 如 果 一 个 
域 树 包含 A、B、C 3 个 域 ， 其 中 ，A 是 B 的 父 域 ， B 是 C 的 父 域 ， 具 有 域 A 管理 权限 的 用 户 
不 会 自动 获得 域 B 的 管理 权限 ， 具 有 域 B 管理 权限 的 用 户 也 不 会 自动 获得 域 C 的 管理 权限 。 
如 果 要 获得 给 定 域 中 的 管理 权限 ， 必 须 对 它们 进行 更 高 级 别 的 授权 ， 但 这 并 不 意味 着 管理 员 不 
能 具有 多 个 域 的 管理 权限 。 

组 织 单元 (Organizational Unit，OU) 是 域 下 面 的 容器 对 象 ， 是 比 域 更 小 的 管理 边界 。 通 过 
在 域内 创建 OU， 域 管理 员 可 以 将 部 分 管理 任务 指派 给 下 级 管理 员 ， 而 不 必 为 他 们 授予 整个 域 
的 管理 权限 。 

下 面 举例 说 明 如 何 利用 OU 实现 更 细致 的 企业 管理 方案 。 假 定 一 个 公司 的 销售 团队 有 自己 
的 网 络 管理 员 和 打印 机 、 服 务 器 等 网 络 资源 ， 销 售 团队 的 网 络 管理 员 必 须 管理 和 控制 销售 团队 
的 网 络 资源 、 管 理 策略 和 其 他 管理 元 素 。 
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在 Windows NT4 网 络 中 , 由 于 销售 团队 是 公司 域 的 一 部 分 , 所 以 销售 团队 的 网 络 管理 员 必 
须 加 入 到 公司 域 的 管理 员 组 中 才能 获得 管理 销售 团队 资源 的 权限 。 销 售 团队 管理 员 获 得 公司 域 
管理 员 的 身份 后 ， 不 仅 可 以 管理 销售 团队 的 网 络 资源 ， 还 可 以 对 整个 公司 域 中 的 资源 进行 管理 
和 控制 。 这 种 扩大 了 的 授权 是 欠 妥 当 的 ， 不 利于 网 络 的 安全 运行 。 

在 Windows 2008 R2 网 络 中 ， 管 理 员 可 以 在 公司 域 中 为 销售 团队 创建 一 个 OU， 并 授予 销 
售 团队 管理 员 仅 限于 该 OU 的 管理 权限 ， 而 不 是 整个 公司 域 的 管理 权限 。 通 过 创建 OU， 可 以 
将 公司 域 管理 员 的 身份 仅仅 指派 给 那些 管理 职责 覆盖 整个 域 的 管理 员 ， 使 网 络 能 够 更 可 靠 、 更 
安全 地 运行 。 在 OU 内 还 可 以 位 套 OU， 但 是 嵌 套 的 深度 不 能 超过 15， 否 则 就 会 出 现 性 能 下 降 











的 问题 。 
组 织 单元 是 可 以 配置 组 策略 或 委派 管理 权限 的 最 小 单位 。 组 织 单元 类 似 于 Windows NT 中 
的 工作 组 。 


3. 活动 目录 的 物理 结构 


活动 目录 的 物理 结构 用 于 优化 网 络 流量 。 活动 目 录 的 物理 结构 包含 站 点 和 域 控制 器 两 个 概 
念 。 站 点 (site) 由 一 个 或 多 个 子 网 构成 ， 站 点 内 的 计算 机 通过 可 靠 的 高 速 链 路 互相 连接 。 站 点 
是 网 络 的 物理 结构 ， 和 域 没 有 必然 的 联系 。 一 个 站 点 可 以 包含 多 个 域 ， 一 个 域 也 可 以 跨越 多 个 
站 点 。 站 点 的 划分 使 得 网 络 管理 员 可 以 更 好 地 利用 物理 网 络 的 特性 ， 更 方便 地 配置 活动 目录 的 
复杂 结构 ， 并 使 网 络 通信 处 于 最 佳 状态 。 当 用 户 登录 到 网 络 时 ， 活 动 目 录 客户 机 在 同一 站 点 内 
找到 域 控制 器 ， 可 以 尽快 地 登录 到 系统 中 。 当 各 个 域 控制 器 之 间 需 要 进行 信息 复制 时 ， 在 同一 
站 点 内 的 复制 操作 可 以 产生 最 小 的 网 络 通信 流量 。 

域 控制 器 是 使 用 活动 目录 安装 向 导 配置 的 Windows 服务 器 。 活动 目录 安装 向 导 提 供 各 种 活 
动 目录 服务 组 件 ， 供 用 户 选择 使 用 。 域 控制 器 存储 着 活动 目录 数据 ， 并 管理 用 户 域 之 间 的 各 种 
交互 作用 ， 包 括 用 户 登录 、 身 份 验 证 和 目录 搜索 等 过 程 。 一 个 域 可 以 有 一 个 或 多 个 域 控制 器 。 
为 了 获得 高 可 用 性 和 容错 能 力 ， 使 用 单个 局 域 网 的 小 公司 可 能 只 需要 两 个 域 控制 器 ， 其 中 一 个 
作为 备份 域 控制 器 以 提供 容错 功能 。 跨 越 多 个 子 网 的 大 公司 ， 在 每 个 子 网 中 都 需要 配置 一 个 或 
多 个 域 控制 器 。 

活动 目录 的 复制 涉及 在 多 个 域 控制 器 之 间 的 数据 传输 。 在 Windows 2003 中 采用 多 宿主 复 
制 模式 。 多 宿主 复制 (Multi master Replication) 意味 着 多 个 域 控制 器 具有 修改 活动 目录 数据 的 
权限 。 在 这 种 复制 模型 中 ， 如 果 一 个 域 控制 器 中 出 现任 何 数据 的 改变 ， 都 会 及 时 地 复制 到 其 他 
域 控制 器 中 。 复 制 过 程 同步 地 移动 被 更 新 的 数据 ， 使 得 活动 目录 中 的 所 有 信息 在 任何 时 刻 对 所 
有 域 控制 器 和 客户 机 都 是 可 用 的 。 Windows 2008 开始 , 增加 只 读 域 控制 器 (RODC) 功 能 , RODC 
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提供 了 一 种 在 要 求 快速 、 可 靠 的 身份 验证 服务 但 不 能 确保 可 写 域 控制 器 的 物理 安全 性 的 位 置 中 
更 安全 地 部 署 域 控制 器 的 方法 ， 为 域 控制 器 提供 了 更 安全 的 机 制 。 


4. 活动 目录 中 的 对 象 


活动 目录 中 的 对 象 主要 包括 用 户 名 、 工 作 组 、 计 算 机 和 打印 机 ， 然 而 网 络 中 所 有 的 服务 器 、 
域 和 站 点 也 可 以 成 为 活动 目录 中 的 对 象 。 

活动 目录 架构 包含 活动 目录 中 所 有 对 象 的 定义 (类 和 属性 )。 在 Windows 2008 R2 网 络 中 ， 

整个 森林 只 有 一 种 架构 ， 架 构 保存 在 活动 目录 中 。 

活动 目录 的 用 户 名 分 为 以 下 两 种 。 

。 主 用 户 名 〈User Principal Name ): 主 用 户 名 的 格式 与 E-mail 地 址 相同 ， 例 如 
john@cyc.com， 其 中 john 是 主 用 户 名 的 前 级 ，cyc.com 是 主 用 户 名 的 后 级 (一 般 为 根 
域名 )。 主 用 户 名 只 能 用 于 登录 Windows 2000/2003 网 络 。 

e。 ”用 户 登 录 名 (User Logon Name): 用 户 登录 名 是 一 般 的 字符 串 ， 在 Windows NT、 
Windows 2003 和 Windows 2008 R2 网 络 中 都 可 以 使 用 用 户 登录 名 。 

活动 目录 中 的 工作 组 分 为 以 下 几 种 。 

。 全 局 组 (Global Groups); 全 局 组 是 可 以 跨越 域 边界 访问 资源 的 工作 组 ， 全 局 组 的 访 
问 权限 可 以 达到 域 林 中 的 任何 信任 域 。 全 局 组 的 成 员 来 自生 成 该 组 的 本 地 域 , 但 是 可 
以 把 全 局 组 嵌入 到 其 他 域 的 本 地 组 中 ， 从 而 使 其 获得 其 他 域 资源 的 访问 权限 。 微 软 建 
议 根 据 组 织 结构 来 建立 全 局 组 , 就 是 把 本 单位 中 所 有 需要 访问 其 他 域 资源 的 用 户 根据 
访问 范围 划分 为 不 同 的 全 局 组 。 

。 ” 域 本 地 组 (Domain Local Groups): 域 本 地 组 的 访问 权限 仅 限于 本 地 域 ， 通 常 是 基于 
对 本 地 资源 的 权限 指派 来 建立 域 本 地 组 。 域 本 地 组 的 成 员 可 来 自 于 任何 域 , 但 是 只 能 
访问 本 地 域 中 的 资源 。 

。 ”通用 组 (Universal Groups): 通用 组 的 成 员 来 自 于 域 林 中 的 任何 域 ， 其 访问 权限 也 可 
以 达到 域 林 中 的 任何 域 。 通 用 组 的 成 员 信息 保存 在 全 局 目录 (GC) 中， 这 是 通用 组 
与 全 局 组 的 主要 区 别 。 正 因为 如 此 , 通用 组 的 任何 变化 都 会 导致 全 域 林 的 复制 。 所 以 ， 
应 该 把 比较 稳定 的 用 户 权限 信息 保存 到 通用 组 中 。 

为 了 使 一 个 用 户 可 以 访问 其 他 域 中 的 资源 ， 可 以 使 用 下 面 的 组 策略 。 

。 ”A-G-DL-P 策略 ; 

. A-G-G-DL-P 策略 ; 

. A-G-U-DL-P 策略 。 

这 里 ，A 表示 用 户 账号 ，G 表示 全 局 组 ，U 表示 通用 组 ，DL 表示 域 本 地 组 ，P 表示 资源 访 

问 权 限 (Permission)。A-G-DL-P 策略 是 将 用 户 账号 添加 到 全 局 组 中 , 将 全 局 组 添加 到 另 一 个 域 
的 域 本 地 组 中 ， 然 后 为 域 本 地 组 分 配 本 地 资源 的 访问 权限 ， 这 样 来 自 其 他 域 的 用 户 就 可 以 访问 
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本 地 域 中 的 资源 了 。 其 余 策 略 类 似 。 
S. 活动 目录 的 安装 和 配置 


活动 目录 必须 安装 在 Windows 2008 R2 的 NTFS 分 区 。 选 择 “ 开 始 ” 一 “ 


运行 ” 执行 


dcpromo.exe 命令 ， 启 动 Active Directory 域 服务 安装 向 导 。 然 后 按照 下 列 步骤 操作 。 


(1) 选择 “在 新 林 中 新 建 域 ” 如 图 9-3 所 示 。 





(2) 创建 一 个 新 域 ， 在 目录 林 根 域 文本 框 输入 域 控制 器 的 域名 。 
(3) 设置 林 功 能 级 别 ， 在 “ 林 功 能 级 别 ” 下 拉 框 中 选择 “Windows Server 2008 R2”， 如 图 


9-4 所 示 。 
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图 9-3 域 控制 器 类 型 


(4) 安装 DNS 服务 和 全 局 服务 ， 单 击 “ 下 - 
(5) 设置 保存 数据 库 、 日 志文 件 、SYSVOL 的 位 置 
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图 9-4 选择 林 功能 级 别 


- 步 ” 在 弹出 的 窗口 中 选择 “是 ”， 如 图 9-5 所 示 。 


， 如 图 2 a 
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图 9-5 安装 DNS 服务 器 


sm [FF] a 


图 9-6 活动 目录 数据 库 与 日 志文 件 的 文件 夹 
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(6) 设置 目录 还 原 模式 的 Administrator 密码 ， 输 入 密码 后 ， 单 击 “ 下 一 步 ”。 进 入 摘要 页 
面 ， 单 击 “ 下 一 步 ”， 系 统 开始 配置 Active Directory 域 服务 ， 配 置 完成 后 ， 自 动 重启 ， 即 可 完 
成 安装 ， 如 图 9-7 所 示 。 























(7) 重启 后 ， 系 统 登录 界面 如 图 9-8 所 示 。 
ETDITTEEEETS 
草本 
本 
讼 短 人 ad 此 过 略 能 要 几 分 色 BJV 上 时 
MYDA\Administrator 
已 FT 人 他 
Er 
民 完成 于 自动 四 
RE 全 本 os 
图 9-7 服务 还 原 模式 的 管理 员 密 码 图 9-8 域 服务 安装 完成 后 登录 界面 


9.2.3 Windows Server 2008 R2 远程 桌面 服务 


远程 桌面 服务 (Windows 2003 称 为 终端 服务 ) 是 Windows 2008 R2 中 的 一 个 服务 器 角色 ， 
它 提供 的 技术 使 用 户 能 够 访问 安装 在 RD 会 话 主机 服务 器 上 的 基于 Windows 的 程序 或 整个 
Windows 的 桌面 。 使 用 远程 桌面 服务 ， 用 户 可 以 从 企业 网 络 或 mntemet 访问 RD 会 话 主机 服务 
器 或 者 虚拟 机 。 

远程 桌面 服务 可 使 您 在 企业 环境 中 有 效 地 部 署 和 维护 软件 ， 可 以 很 容易 从 中 心 位 置 部 署 程 
序 。 由 于 将 程序 安装 在 RD 会 话 主 机 服务 器 上 ， 而 不 是 安装 在 客户 端 计算 机 上 ， 所 以 ， 更 容易 
升级 和 维护 程序 。 在 用 户 访问 RD 会 话 主机 服务 器 上 的 程序 时 ， 程 序 会 在 服务 器 运行 。 每 个 用 
户 只 能 看 到 各 自 的 会 话 。 服 务 器 操作 系统 透明 地 管理 会 话 , 与 任何 其 他 客户 端 会 话 无 关 。 另 外 ， 
您 可 以 配置 远程 桌面 服务 来 使 用 Hyper-VM， 以 便 将 虚拟 机 分 配给 用 户 或 在 连接 时 让 远程 桌面 
服务 动态 地 将 可 用 虚拟 机 分 配给 用 户 。 

在 Windows Server 2008 R2 中 ， 远 程 桌面 服务 由 下 列 角色 服务 组 成 。 

(1) 远程 桌面 会 话 主机 : 远程 桌面 会 话 主 机 (RD 会 话 主机 ) (以 前 是 终端 服务 器 ) 使 服 
务 器 可 以 托管 基于 Windows 的 程序 或 完整 的 Windows 桌面 。 用 户 可 连接 到 RD 会 话 主机 服务 
器 来 运行 程序 、 保 存 文件 ， 以 及 使 用 该 服务 器 上 的 网 络 资源 。 

(2) RD Web 访问 : 远程 桌面 Web 访问 (RD Web 访问 ) (以 前 是 TS Web 访问 ) 使 用 
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户 可 以 通过 运行 Windows 7 的 计算 机 上 的 “开始 ”菜单 或 通过 Web 浏览 器 来 访问 RemoteApp 
和 桌面 连接 。RemoteApp 和 桌面 连接 向 用 户 提供 RemoteApp 程序 和 虚拟 桌面 的 自 定义 视图 。 

(3) 远程 桌面 授权 : 远程 桌面 授权 (RD 授权 ) (以 前 是 TS 授权 ) 管理 每 台 设备 或 用 户 
与 RD 会 话 主机 服务 器 连接 所 需 的 远程 桌面 服务 客户 端 访问 许可 证 (RDS CAL)。 使 用 RD 授 
权 在 远程 桌面 授权 服务 器 上 安装 、 颁 发 RDS CAL 并 跟踪 其 可 用 性 。 

(4) RD 网 关 : 远程 桌面 网 关 (RD 网 关 ) (以 前 是 TS 网 关 ) 使 授权 的 远程 用 户 可 以 从 
任何 连接 到 Intermet 的 设备 连接 到 企业 内 部 网 络 上 的 资源 。 

(5) RD 连接 Broker: 远程 桌面 连接 代理 (RD 连接 代理 ) (以 前 是 TS 会 话 Broker) 支 
持 负载 平衡 RD 会 话 主机 服务 器 场 中 的 会 话 负载 平衡 和 会 话 重新 连接 。 RD 连接 代理 还 用 于 通 
过 RemoteApp 和 桌面 连接 为 用 户 提供 对 RemoteApp 程序 和 虚拟 机 的 访问 。 

(6) 远程 桌面 虚拟 化 主机 : 远程 桌面 虚拟 化 主机 (RD 虚拟 化 主机 ) 集成 了 Hyper-V 以 
托管 虚拟 机 ， 并 将 这 些 虚 拟 机 作为 虚拟 桌面 提供 给 用 户 。 可 以 将 唯一 的 虚拟 机 分 配给 组 织 中 的 
每 个 用 户 ， 或 为 他 们 提供 对 虚拟 机 池 的 共享 访问 。 


1. 远程 桌面 服务 的 安装 


在 Windows Server 2008 R2 中 ， 默 认 情况 下 没有 远程 桌面 服务 ， 需 要 进行 手动 添加 。 终 端 
服务 的 安装 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 按 钮 ， 然 后 选择 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”一 “添加 
角色 ”命令 。 

(2) 进入 添加 角色 向 导 界 面 ， 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 选 择 服务 器 角色 ”在 “角色 ” 
列表 中 勾 选 “远程 桌面 服务 ” 复 选 枉 ， 单 击 “ 下 一 步 ” 按 钮 。 

(3) 在 “角色 服务 ”列表 中 勾 选 需要 添加 服务 的 复 选 枉 ， 单 击 “ 下 一 步 ” 按 钮 。 

(4) 应 用 程序 兼容 性 说 明 页 面 ， 单 击 “ 下 一 步 ” 按 钮 。 

(5) 勾 选 相应 的 身份 验证 方式 单 选 杠 ， 单 击 “ 下 一 步 ” 按 钮 。 

(6) 勾 选 相应 的 授权 模式 单 选 框 ， 单 击 “ 下 一 步 ”按钮 。 

(7) 添加 可 以 远程 连接 到 RD 会 话 主机 的 用 户 或 用 户 组 ， 默 认 Administrators 用 户 组 已 具 
备 访问 权限 ， 且 不 可 删除 ， 单 击 “ 下 一 步 ” 按 钮 。 

(8) 根据 向 导 提示 ， 完 成 “客户 端 体验 ”“RD 授权 配置 ”>“ 服 务 器 验证 证 书 ”“ 授 权 策略 ” 
配置 ， 单 击 “ 下 一 步 ” 按 钮 。 

(9) 单 击 “ 安 装 ” 按 钮 ， 系 统 将 所 选择 的 角色 添加 到 服务 器 ， 完 成 后 自动 重启 计算 机 。 


2. 远程 桌面 服务 的 配置 与 管理 


1) 赋予 用 户 权 限 
默认 情况 下 ， 只 有 系统 管理 员 组 用 户 〈Administrators) 和 系统 组 用 户 (SYSTEM) 拥有 访 
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问 和 完全 控制 远程 桌面 服务 器 的 权限 ， 远程 桌面 用 户 组 (Remote Desktop Users) 的 成 员 只 拥有 
访问 权限 而 不 具备 完全 控制 权 。 在 很 多 时 候 ， 默 认 的 权限 设置 往往 并 不 能 完全 满足 我 们 的 实际 
需求 ， 因 此 还 需要 赋予 某 些 特殊 用 户 远程 连接 的 权限 。 具 体 设置 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 按 钮 ， 选 择 “管理 工具 ”一 “远程 桌面 服务 ”一 “远程 桌面 会 话 主机 配 
置 ”命令 ， 显 示 如 图 9-9 所 示 的 “远程 桌面 会 话 主机 配置 ”窗口 。 

(2) 单 击 树 型 列表 框 中 的 “RD 会 话 主机 配置 ”选项 , 用 鼠标 右 击 右 侧 列表 框 中 的 RDP-Tep， 
从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 弹出 的 对 话 框 中 选择 “安全 ”选项 卡 ， 该 选项 卡 对 
管理 员 Administrator 的 访问 权限 进行 了 一 定 的 限制 , 管理 员 可 以 有 “完全 控制 “用 户 访问 ”“ 来 
宾 访 问 ” 以 及 “特殊 权限 ”4 种 权限 ， 通 过 选中 或 取消 各 项 的 复 选 框 来 确定 相应 的 权限 ， 如 图 
9-10 所 示 。 
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志和 设置 

宙 

加 县 

加 每 全 相信 有 必 时 交友 皇 

四 内 个 朋 户 愉 能 进行 一 个 全 活 是 

者 权 

| 用 于 知 允 和 点 五 

| 
图 9-9 “远程 桌面 会 话 主 机 配置 ”窗口 图 9-10 RDP-Tep 属性 


(3) 单 击 “ 高 级 ”按钮 ， 显 示 所 有 用 户 的 权限 ， 如 图 9-11 所 示 。 

2) 远程 桌面 服务 高 级 设置 

(1) 更 改 加 密级 别 。 

在 “RDP-Tcp 属性 ”对 话 框 中 选择 “常规 ”选项 卡 ， 如 图 9-12 所 示 。 

在 “加 密 ” 选 项 区 域 的 “加 密级 别 ” 下 拉 列 表 中 包括 以 下 4 种 级 别 。 

中 低 。 使 用 56 位 密 钥 对 从 客户 端 传输 到 服务 器 的 数据 进行 加 密 。 

加 客户 端 兼 容 。 使 用 客户 端 所 支持 最 大 长 度 的 密 钥 对 从 客户 端 传输 到 服务 器 的 数据 进行 
加 密 。 
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厂 识 克 诗 运 行 实 月 网 络 级 别 身份 驴 汪 的 远程 桌面 的 计算 机 注 癌 ) 
证 书 : 已 自动 生 或 























添 如 四 损 要 加 国际 go 逊 局 回 认 什 久 ) A 昧 认 值 加 ) 
pa | 
CJ wm | Cw | sn» | 
图 9-11 所 有 用 户 的 权限 图 9-12 “常规 ”选项 卡 


@ 高 。 使 用 128 位 密 钥 的 强加 密 算法 对 从 
客户 端 传 输 到 服务 器 的 数据 进行 加 密 。 

@ 符 合 FIPS 标准 。 使 用 Microsoft 加 密 模 
块 的 联邦 信息 处 理 标 准 (FIPS) 对 从 客户 端 伟 
输 到 服务 器 的 数据 进行 加 密 。 





此 外 ， 如 果 希 望 此 连接 进行 标准 的 Windows 二 
验证 ， 则 选中 “使 用 标准 Windows 验证 ” 复 SS 
选 框 。 厂 始终 提示 室 码 四) 


(2) 允许 用 户 自动 登录 到 服务 器 。 
在 “RDP-Tep 属性 ”对 话 框 中 选择 “登录 
设置 ”选项 卡 ， 如 图 9-13 所 示 。 | 
默认 情况 下 为 使 用 客户 端 提供 的 登录 CE ea | unw | 
信息 。 图 9-13 “登录 设置 ”选项 卡 
选中 “始终 使 用 以 下 登录 信息 ” 复 选 框 来 
设置 允许 用 户 登 录 的 信息 。 在 “用 户 名 ”文本 框 中 输入 允许 登录 到 服务 器 的 用 户 名 称 ; 在 “ 域 ” 
文本 框 中 输入 计算 机 所 属 域 的 名 称 ， 在 “密码 ”和 “确认 密码 ”文本 框 中 输入 该 用 户 登录 时 所 
采用 的 密码 。 
如 果 要 求 用 户 在 登录 到 服务 器 之 前 始终 被 提示 输入 密码 , 则 选中 “始终 提示 密码 ” 复 选 框 。 
(3) 配置 远程 桌面 服务 超时 和 重新 连接 功能 。 
在 “RDP-Tep 属性 ”对 话 框 中 选择 “会 话 ”选项 卡 ， 如 图 9-14 所 示 。 选 中 “改写 用 户 设 
冒 ” 复 选 框 ， 人 允许 用 户 配置 此 连接 的 超时 设置 。 
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@ 在 “结束 已 断 开 的 会 话 ” 下 拉 列 表 中 选择 断 开 连 接 的 会 话 留 在 服务 器 上 的 最 长 时 间 。 
@ 在 “活动 会 话 限制 ”下 拉 列 表 中 选择 用 户 的 会 话 在 服务 器 上 持续 的 最 长 时 间 。 

@ 在 “空闲 会 话 限 制 ” 下 拉 列 表 中 选择 空闲 的 会 话 在 服务 器 上 持续 的 最 长 时 间 。 

@ 选中 “改写 用 户 设置 ” 复 选 框 设置 到 达 会 话 限制 时 或 者 连接 被 中 断 时 进行 的 操作 。 
(4) 管理 远程 控制 。 

在 “RDP-Tep 属性 ”对 话 框 中 选择 “远程 控制 ”选项 卡 ， 如 图 9-15 所 示 。 

一 二 


[一 一 
| 安全 





三 
运程 控制 。 | 。 襄 户 消 设 置 。 | 网 络 适 可 器 























Cis | ms | smw | Ca |] ms | maw | 
图 9-14 “会 话 ” 选 项 卡 图 9-15 “远程 控制 ”选项 卡 


选择 “使 用 具有 下 列 设置 的 远程 控制 ” 单 选 按 钮 即 可 配置 该 连接 的 远程 控制 。 
9.2.4 Windows Server 2008 R2 远程 管理 


远程 管理 的 使 用 是 衡量 Windows Server 2008 R2 网 络 管理 员 、 系 统管 理 员 水 平 的 重要 指标 。 
它 既 可 是 系统 中 集成 的 ， 又 可 以 是 由 其 他 单独 远程 管理 软件 所 提供 的 。 在 Windows 系统 中 ， 远 
程 管理 是 集成 于 其 他 服务 之 中 ， 通 过 使 用 其 他 服务 或 服务 组 合 来 实现 的 。 

许多 网 络 设备 也 引入 了 “远程 管理 ”理念 ， 如 服务 器 、 路 由 器 产品 、 防 火 墙 和 网 络 打印 机 
等 ， 目 的 就 是 方便 管理 员 在 不 同 地 方 对 相应 主机 或 设备 进行 管理 。 它 与 远程 控制 技术 一 样 ， 已 
渗透 到 各 行 各 业 ， 特 别 是 信息 产业 的 各 个 领域 ， 应 用 非常 广泛 。 

1. Microsoft 管理 控制 台 MMC) 


Microsoft 管理 控制 台 集 成 了 用 来 管理 网 络 、 计 算 机 、 服 务 及 其 他 系统 组 件 的 管理 工具 。 可 
以 使 用 MMC 创建 、 保 存 并 打开 管理 工具 单元 ， 这 些 管 理工 具 用 来 管理 硬件 、 软 件 和 Windows 
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系统 的 网 络 组 件 。MMC 可 以 运行 在 各 种 Windows 9x/NT 操作 系统 上 ， 以 及 Windows XP 家 庭 
版 /专业 版 和 Windows Server 2003、Windows Server 2008 家 族 的 操作 系统 上 。 
MMC 不 执行 管理 功能 ， 但 集成 管理 工具 。 可 以 添加 到 控制 台 的 主要 工具 类 型 称 为 管理 单 
元 ， 其 他 可 添加 的 项 目 包 括 ActiveX 控件 、 网 页 的 链接 、 文 件 夹 、 任 务 板 视 图 和 任务 。 
若 需要 在 Windows Server 2008 R2 上 经 常 对 
台 计 算 机 进行 远程 桌面 管理 可 进行 用 户 添加 ， 




















以 便 完 成 远程 管理 。 用 户 添加 操作 如 下 。 用 
(1) 选择 “开始 ”一 “运行 ”命令 , 打开 “ 运 pox = 
行 ” 对话 框 ， 在 文本 框 中 输入 命令 “mmc”， 如 图 富 使 用 管理 权限 创 娃 出 任务。 
9-16 所 示 。 
(2) 单 击 “ 确 定 ” 按 钮 ， 系 统 显示 MMC 控 wy | oj- 
制 台 ， 如 图 9-17 所 示 。 
(3) 单 击 “文件” 一 “添加 或 删除 管理 单元 ” 图 9-16 运行 命令 
命令 。 


(4) 在 列表 框 中 选择 “远程 桌面 ”选项 ， 单 击 “ 添 加 ”按钮 ， 如 图 9-18 所 示 。 
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此 和 枢 中 该 有 可 蝇 条 入 项 目 。 
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图 9-17 MMC 控制 台 窗 口 图 9-18 添加 远程 桌面 


(5) 右 击 控制 台 根 节点 中 的 远程 桌面 ， 选 择 “ 添 加 新 连接 ”， 在 如 图 9-19 所 示 的 对 话 框 中 
依次 添加 计算 机 卫 、 连 接 名 称 、 用 户 名 ， 完 成 一 个 用 户 的 添加 。 

(6) 重复 步骤 (5)， 将 目标 计算 机 逐个 添加 到 控制 台 。 

2. 远程 桌面 连接 

远程 桌面 连接 功能 是 为 Windows Server 2008 R2 系统 提供 的 一 种 连接 远程 工作 站 的 远程 管 
理工 具 。 
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1) 配置 远程 桌面 连接 

(1) 选择 “开始 ”一 “控制 面板 ”一 “系统 ”一 “远程 设置 ”命令 打开 对 话 框 , 切换 到 “ 远 
程 ” 选 项 卡 ， 在 “远程 桌面 ” 栏 中 色 选 “ 仅 允 许 运 行使 用 网 络 级 别 身份 验证 的 远程 桌面 的 计算 
机 连接 (更 安全 )” 复 选 框 ， 如 图 9-20 所 示 。 
































| 连接 页 机 名 | 硬件 | 融 名 。 斌 程 | 
计算 机 名 称 或 I 地 址 WN); 由 和 
济 昨 四 . 民营 放 二 得 祭 玖 本 拘 运 合十 真 机 CT 
下 高 级 5 
厅 使 用 /aanin 选项 进行 连接 0D 到 得 病 面 
单 二 一 个 迁 项 然后 指定 准 可 以 三 按 (0 果 需要 )" 
ed i | 个 不 多 许 注 措 到 这 全 计算 机 0) 
忆 en 个 允许 运行 任意 版 本 运程 点 耐 的 计算 名 演 按 咏 不 安全 ) 0.) 
计算 机 名 称 字段 为 空 。 请 输入 完整 的 运程 计算 机 名 称 。 i 
ME Mp) | 
识 置 将 在 下 次 连接 此 计算 机 上 时 生效 。 
[CC ] 开 | EI ww | enw | 
图 9-19 添加 新 连接 图 9-20 “远程 ”选项 卡 





(2) 选择 “开始 ”一 “控制 面板 ”一 “Windows 防火 墙 ” 一 “允许 程序 或 功能 通过 Windows 
防火 墙 ” 命 令 打开 对 话 框 ， 如 图 9-21 所 示 ， 勾 选 “ 远 程 桌面 "， 单 击 “ 确 定 ” 即 可 允许 远程 
访问 。 

2) 使 用 远程 桌面 连接 

(1) 选择 “开始 ”一 “所 有 程序 ”一 “附件 ”一 “远程 桌面 连接 ” 随即 弹出 一 个 对 话 框 ， 
要 求 输入 要 远程 连接 的 计算 机 名 或 下 地 址 ， 如 图 9-22 所 示 。 


估计 各 序 贡 过 mhadvee 防火 坟 员 信 
2 要 如、 更 sh 开 相 隐 所 甩 放 的 程序 和 沁 口 ， 尖 和 击 “下 隐 疫 守 ”、 
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Bs 日 a [a 
口 性 表 日 本 和 孝 报 0 2 连接 
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Bes 8 8 
流程 守 划 作 a D i 四 ”可 
i 入 从 管 理 口 口 计算 机 中 
GE 日 a 
二 3 2 用 户 各 未定 
ce a 口中 计算 机 名 称 字 段 为 守 。 请 输入 寺 开 的 远程 计算 机 名 称 * 
CO 
A = 过 页 o| [CE ] www | 


图 9-21 “本 地 连接 属性 ”对 话 框 图 9-22 “远程 桌面 连接 ”窗口 
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(2) 单 击 “ 选 项 ”按钮 ， 即 可 弹出 一 个 可 以 对 该 项 远程 连接 进行 详细 配置 的 对 话 框 ， 如 图 
9-23 所 示 。 在 这 个 对 话 框 中 包括 6 个 选项 卡 ， 可 以 进行 非常 全 面 的 连接 配置 ， 在 此 不 做 详细 
介绍 。 

使 用 远程 桌面 连接 功能 可 以 很 容易 地 连接 到 其 他 允许 连接 远程 桌面 的 计算 机 ， 用 户 可 以 保 
存 设 置 以 用 于 下 次 连接 ， 远 程 连接 登录 界面 如 图 9-24 所 示 。 


有 远程 桌面 
hx) 连接 


常规 | 示 | 本 地 乔 | 程 序 | 伟 验 | 高 | 















ne 外 移 和 so-. 
iT = 
用 户 名 : Administrator 
和 字 要 为 宇 。 入 寺 可 的 计划 机 入。 加 FT 





「 连接 设置 
n Eb a0P 文件 或 打开 一 个 已 保存 的 连 





[ 使 用 其 他 帐户 











保存 5) 5 为 中 打开 四 FE 
~ 过 而 吕 | 者 助 00 取消 
图 9-23 ”远程 连接 详细 配置 的 窗口 图 9-24 ”远程 连接 登录 


9.2.5 Linux 网 络 配置 
1. 网 络 配置 文件 


在 Linux 操作 系统 中 ,，TCP/IP 网 络 是 通过 若干 个 文本 文件 进行 配置 的 ， 系统 在 启动 时 通过 
读 取 一 组 有 关 网 络 配置 的 文件 和 脚本 参数 内 容 来 实现 网 络 接口 的 初始 化 和 控制 过 程 ， 这 些 文件 
和 脚本 大 多 数位 于 /ete 目录 下 。 这 些 配 置 文 件 提供 网 络 中 地址、 主机 名 和 域名 等 ， 脚 本 则 负责 
网 络 接口 的 初始 化 。 通 过 编辑 这 些 文件 可 以 进行 网 络 设置 和 实现 联网 工作 。 这 些 文件 可 以 在 系 
统 运行 时 修改 。 不 用 启动 或 者 停止 任何 守护 程序 ， 更 改 会 立刻 生效 。 这 些 文件 都 支持 由 “#” 
开头 的 注释 。 在 Linux 系统 中 ， 有 关 网 络 配 置 的 主要 文件 有 以 下 几 个 。 

(1) /etc/sysconfig/network-script/ifcfg-enoxxx 文件 。 这 是 一 个 用 来 指定 服务 器 上 的 网 络 配 
置信 息 的 文件 。 其 中 常见 的 主要 参数 的 含义 说 明 如 下 。 








TYPE=Ethemet # 网 络 接口 类 型 
BOOTPROTO=static # 葛 态 地 址 
DEFROUTE=yes 


IPV4 FAILURE FATAL=no 
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IPV6INIT=yes # 是 否 支持 IPV6 
IPV6 AUTOCONF=yes 

IPV6 DEFROUTE=yes 

IPV6 FAILURE FATAL=no 


NAME=eno16780032 # 网 卡 名 称 
UUID=16c93842-a039-4da3-b88a-977eb1201b3f 
ONBOOT=yes 

IPADDRO=10.0.252.198 ##P 地 址 
PREFIX0=24 # 子 网 掩 码 
GAIEWAY0=10.0.252.254 # 网 关 
DNS1=61.134.1.4 #DNS 地 址 


HWADDR=00:50:56:95:23:CE # 网 卡 物理 地 址 ， 使 用 虚拟 机 需要 注意 此 地 址 
IPV6 PEERDNS=yes 
IPV6 PEERROUTES=yes 


配置 完成 后 ， 需 要 使 用 systemctl restart network 命令 重启 网 络 服务 。 
(2) /etc/hostname 文件 ， 该 文件 包含 了 Linux 系统 的 主机 名 。 


[root@redhat ~] #vi /etc/hostname 修改 配置 文件 中 的 redhat 为 redhat-64， 
保存 文件 ， 然 后 重新 登录 ， 此 时 ， 主 机 名 已 经 更 改 
[root@redhat-64 ~]# hostnamectl status 
Static hostname: redhat-64 


表明 静态 主机 名 已 经 修改 成 功 。 

这 个 文件 是 在 启动 时 从 文件 /etc/sysconfig/network 的 HOSTNAME 行 中 得 到 的 ， 用 于 在 启 
动 时 设置 系统 的 主机 名 。 

(3) /etc/resolv.conf 文件 。/etc/resolv.conf 文件 配置 DNS 客户 , 它 包 含 了 主机 的 域名 搜索 顺 
序 和 DNS 服务 器 的 地 址 ， 每 一 行 应 包含 一 个 关键 字 和 一 个 或 多 个 由 空格 隔 开 的 参数 。 下 面 是 
一 个 例子 








search mydomain.edu.cn 
nameserver 210.34.0.14 
nameserver 210.34.0.13 
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常用 参数 及 其 意义 说 明 如 下 。 

。 ”nameserver: 表明 DNS 服务 器 的 人 P 地 址 。 可 以 有 很 多 行 的 nameserver， 每 一 个 带 一 
个 卫 地 址 。 在 查询 时 就 按 nameserver 在 本 文件 中 的 顺序 进行 ， 且 只 有 当 第 一 个 
nameserver 没有 反应 时 才 查 询 下 面 的 nameserver。 

。 ”domain: 声明 主机 的 域名 。 很 多 程序 用 到 它 ， 如 邮件 系统 ， 当 为 没有 域名 的 主机 进行 
DNS 查询 时 也 要 用 到 。 如 果 没 有 域名 ， 主 机 名 将 被 使 用 ， 删 除 所 有 在 第 一 个 点 〈.) 
前 面 的 内 容 。 

。 search: 它 的 多 个 参数 指明 域名 的 查询 顺序 。 当 要 查询 没有 域名 的 主机 时 ， 主 机 将 在 

由 search 声明 的 域 中 分 别 查 找 。domain 和 search 不 能 共存 。 

。 sortlist:， 允许 将 得 到 的 域名 结果 进行 特定 的 排序 。 它 的 参数 为 网 络 / 掩 码 对， 允许 任意 
的 排列 顺序 。 在 Red Hat Linux 中 没有 提供 默认 的 /etc/resolv.conf 文件 ， 它 的 内 容 是 根 
据 在 安装 时 给 出 的 选项 动态 创建 的 。 


2. 安装 网 卡 


在 安装 Linux 操作 系统 时 ， 如 果 计 算 机 系统 中 装 有 网 卡 ， 安 装 程序 将 会 提示 给 出 TCP/ 人 P 
网 络 的 配置 参数 ， 如 本 机 、 默 认 网 关 以 及 DNS 的 他 地 址 等 。 根 据 这 些 配 置 参 数 ， 安 装 程序 将 
会 自动 把 网 卡 的 驱动 程序 编译 到 内 核 中 去 。 网 卡 的 驱动 程序 是 作为 模块 加 载 到 内 核 中 去 的 。 所 
有 Linux 支持 的 网 卡 驱动 程序 都 是 存放 在 目录 /lib/modules/ (Linux 版 本 号 ) /net/ 下 ， 可 以 通过 
修改 模块 配置 文件 来 更 换 网 卡 或 者 增加 网 卡 。 

Red Hat Linux 7 中 ， 网 卡 命名 方式 从 eth0,1,2 的 方式 变 成 了 enoX XXXX 的 格式 ，en 表 
示 的 是 enthemet，o 表示 的 是 onboard，X X X 表 示 的 一 长 串 数 字 则 是 主板 的 某 种 索引 编号 自 
动 生成 的 ， 可 以 保证 其 唯一 性 。 但 网 卡 并 不 能 直接 作为 硬件 裸 设备 出 现 于 /dev 下 ， 而 是 内 核 在 
引导 时 在 内 存 中 建立 的 。Red Hat Linux 默认 是 采用 内 核 模块 (module) 的 方式 在 系统 引导 时 设 
定 网 卡 的 ， 如 果 已 经 知道 网 卡 类 型 ， 也 可 以 把 相应 的 网 卡 驱动 编译 进 内 核 。 


3. 网 络 配置 命令 
(1) 网 络 接口 设置 命令 ifconfig。 在 Linux 系统 中 通过 ifconfig 命令 进行 指定 网 络 接口 的 


TCP/IP 网 络 参数 设置 。 执 行 fconfig 配置 命令 后 ， 系 统 将 在 内 核 表 中 设置 必要 的 网 络 参数 ， 这 
样 Linux 系统 就 知道 如 何 与 网 络 上 的 网 卡通 信 了 。ifconfig 命令 的 基本 格式 如 下 。 





























ifconfig Interface-name ip-address upldown 


使 用 不 带 任何 参数 的 ifconfig 命令 可 以 查看 当前 系统 的 网 络 配置 情况 。 在 刚 安装 完 系统 之 
后 ， 实 际 上 是 在 没有 网 卡 或 者 网 络 连接 的 情况 下 使 用 Linux， 但 通过 ifeconfig 可 以 使 用 回 送 
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(loopback) 方式 工作 ， 使 计算 机 认为 自己 在 网 络 上 工作 。 使 用 ifconfig 命令 可 以 进行 指定 网 络 
接口 的 TCP/IP 网 络 参数 设置 。 

例如 ， 运 行 下 列 命令 。 

[root@redhat-64 ~]#ifconfig eno16780032 10.0.252.198 netmask 255.255.255.0 up 


将 网 络 接口 eno16770671 的 中 地 址 设置 为 192.168.0.5, 子 网 掩 码 为 255.255.255.0， 并 启动 该 接 
或 将 其 初始 化 。 类 似 的 ， 若 将 网 络 接口 “关闭 ” 则 输入 命令 ifconfig eth0 down， 不 需要 指定 
四 地址 和 网 络 掩 码 。 

运行 不 带 任何 参数 的 ifconfig 命令 可 以 显示 所 有 网 络 接口 的 状态 。 若 要 检查 特定 接口 的 状 
态 ， 则 在 这 onfig 后 附加 这 个 接口 的 名 称 。 例 如 运行 : 


[root@redhat-64 ~]#ifconfig eno16780032 


命令 后 ， 系 统 显示 接口 状态 信息 如 下 。 














eno16780032: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet 10.0.252.198 netmask 255.255.255.0 broadcast 10.0.252.255 

inet6 fe80::250:56ff:fe95:23ce prefixlen 64 scopeid 0x20<link> 

ether 00:50:56:95:23:ce txqueuelen 1000 (Ethemet) 

RX packets 1629264 bytes 140809241 (134.2 MiB) 

RX errors 0 dropped 53 overruns 0 frame 0 

TX packets 256808 bytes 17948386 (17.1 MiB) 

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


以 上 输出 显示 MAC 地 址 (Hwaddr)、 所 分 配 的 下 地址 (inet addr)、 广 播 地 址 (Bcast) 和 
网 络 掩 码 (Mask)。 另 外 ， 可 以 看 出 该 接口 处 于 UP 状态 ,其 MTU 为 1500 并 且 Metric 为 1。 
接 下 来 的 两 行 给 出 有 关 接 收 到 RX) 和 已 发 送 的 (TX) 信息 包 数 ， 以 及 错误 、 丢 弃 和 溢出 信 
息 包 数 的 统计 。 最 后 两 行 显示 冲突 信息 包 的 数目 、 发 送 队 列 大 小 (txqueuelen) 和 IRQ 以 及 网 
卡 的 基 址 。 

(2) 配置 路 由 命令 route。 通 常 在 系统 使 用 ifconfig 命令 配置 网 络 接口 后 ， 需 用 route 命令 
设 定 主机 或 局 域 网 的 出 口 人 P 地 址 。route 命令 的 调用 参数 复杂 ， 它 的 主要 功能 是 管理 Linux 系 
统 内 核 中 的 路 由 表 。route 命令 的 基本 格式 如 下 。 


route [- 选 项 ] 


常用 参数 和 选项 说 明 如 下 。 
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。 ”del: 删除 一 个 路 由 表 项 。 

。 add: 增加 一 个 路 由 表 项 。 

。 target: 配置 的 目的 网 段 或 者 主机 ， 可 以 是 也， 也 可 以 是 网 络 或 主机 名 。 
。 ”netmaskNm: 用 来 指明 要 添加 的 路 由 表 项 的 子 网 掩 码 。 

。 ”gw Gw: 任何 通 往 目 的 地 的 下 分 组 都 要 通过 这 个 网 关 。 

例如 ， 运 行 不 带 参数 的 route 命令 : 


[root@redhat-64 ~] 贞 oute 


系统 将 显示 内 核 路 由 表 如 下 。 
Kernel IP routing table 
Destination Gateway Genmask Flags Metric Ref Use Iface 
default 10.0.252.254 0.0.0.0 UG 1024 0 0 eno16780032 
10.0.252.0 0.0.0.0 255.255.255.0 U 0 0 0 enol6780032 


第 一 项 是 默认 路 由 ， 表 明 默 认 网 关 为 10.0.252.254， 网 络 接口 为 eno16780032。 
最 小 的 路 由 表 仅 允许 在 同一 网 络 中 的 主机 互相 通信 。 如 果 要 与 远程 主机 通信 ， 必 须 将 通过 
外 部 网 关 的 路 由 添加 到 路 由 表 中 。route 命令 的 基本 格式 如 下 。 


route [addldel] [-netl-host] target [netmask Nm] [gw Gw] [[dev] If] 


在 route 命令 上 的 第 一 个 关键 字 要 么 是 add 要 么 是 del (删除 路 由 )。 下 一 个 值 是 目的 地 地 
址 ， 它 是 通过 该 路 由 到 达 的 地 址 。 如 果 关 键 字 default 用 于 目的 地 地 址 ， 则 创建 默认 路 由 。 只 要 
没有 到 目的 地 的 特定 路 由 ， 就 使 用 默认 路 由 。 如 果 网 络 中 只 有 一 个 网 关 ， 则 使 用 默认 路 由 引导 
所 有 要 到 远程 网 络 的 数据 流量 通过 这 个 网 关 。 命 令 行 的 下 一 个 参数 是 网 关 地 址 ， 该 地 址 必须 是 
直接 连接 本 机 所 在 网 络 的 网 关 地 址 。 在 到 远程 目的 地 的 网 络 路 径 中 ，TCP/IP 路 由 要 指定 下 一 跳 
(next-hop)。 这 个 下 一 中 继 必 须 是 本 机 可 直接 访问 的 ， 因 此 ， 它 必须 直接 连接 在 本 机 所 在 的 网 
络 中 。 

因为 大 多 数 的 路 由 都 是 在 系统 启动 过 程 早期 添加 的 ， 所 以 建议 用 数字 的 他 地 址 替代 主机 
名 ， 这 样 做 就 可 以 确保 路 由 配置 不 依赖 于 名 称 服务 器 的 状态 。 

(3) 网 络 测试 命令 ping。 配 置 完成 路 由 以 后 ,可 以 用 ping 命令 做 一 个 测试 来 检查 一 下 配置 
是 否 成 功 。ping 命令 用 于 查看 网 络 上 的 主机 是 否 在 工作 ， 它 向 被 查看 主机 发 送 ICMP 
ECHO_REQUEST 包 ， 正 常情 况 下 应 该 可 以 接收 到 响应 。ping 命令 的 一 般 格式 如 下 。 


ping [- 选 项 ] 主机 名 /他 地 址 
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常用 参数 和 选项 说 明 如 下 。 
。 ”-t: 校 验 与 指定 计算 机 的 连接 ， 直 到 用 户 中 断 。 
。 “”-a; 将 地 址 解析 为 计算 机 名 。 
e = count: 发 送 由 count 指定 数量 的 ECHO 报 文 ， 在 发 送 指定 数目 的 包 后 停止 。 默 认 
值 为 4。 
。 -llength: 发 送 包含 由 length 指定 数据 长 度 的 ECHO 报 文 。 默认 值 为 64 字 节 ， 最 大 值 
为 8192 字 节 。 
。 -itl: 将 “生存 时 间 ” 字 段 设 置 为 世 指定 的 数值 。 
ping 命令 通过 向 计算 机 发 送 ICMP 回应 报 文 并 且 监 听 回 应 报 文 的 返回 ， 以 校 验 与 远程 计算 
机 或 本 地 计算 机 的 连接 及 参数 配置 情况 ， 可 以 使 用 ping 实用 程序 测试 计算 机 名 和 卫 地址。 如 
果 能 够 成 功 校 验 人 P 地 址 却 不 能 成 功 校 验 计算 机 名 ， 则 说 明 名 称 解 析 存 在 问题 。 在 这 种 情况 下 ， 
要 保证 在 本 地 HOSTS 文件 中 或 DNS 数据 库 中 存在 要 查询 的 计算 机 名 。 
(4) 网 络 查询 命令 netstat。 网 络 信息 查询 命令 netstat 可 以 显示 内 核 路 由 表 、 活 动 网 络 连接 
的 状态 和 每 个 已 安装 网 络 接口 等 一 些 有 用 的 统计 信息 。 像 大 多 数 Linux 管理 命令 行程 序 一 样 ， 
netstat 可 以 通过 其 后 面 的 附加 选项 和 参数 选择 所 显示 信息 的 细节 。netstat 命令 的 一 般 格 式 如 下 。 


netstat [- 选 项 ][- 参 数 ] 


常用 参数 和 选项 说 明 如 下 。 
。 显示 所 有 连接 的 信息 ， 包 括 那 些 正 在 侦 听 的 。 





-a: 
。 ”7-i: 显示 所 有 已 配置 网 络 设备 的 统计 信息 。 
。 ”-c: 持续 更 新 网 络 状态 (每 秒 一 次 ) ， 直 到 被 人 为 中 止 。 
。 了: 显示 内 核 路 由 表 。 

。 =: 以 数字 (原始 ) 格式 而 不 是 已 解析 的 名 称 显示 远程 和 本 地 地 址 。 

在 使 用 netstat 命令 时 可 以 组 合 这 些 选项 ,所 以 输入 netstat -m 将 以 原始 的 下 地 址 格式 显示 
关于 本 地 和 远程 主机 Cn) 的 系统 路 由 表 (7)。 

例如 ， 运 行 下 面 的 命令 : 


[root@redhat-64 ~]#netstat -nr 


系统 显示 : 
Kernel IP routing table 
Destination Gateway Genmask Flags MSS Window irtt Iface 
0.0.0.0 10.0.252.254 0.0.0.0 UG 0 0 0 eno16780032 


10.0.252.0 0.0.0.0 255.255.255.0 U 0 0 0 eno16780032 
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卫 选 项 强制 netstat 以 点 分 四 组 下 数字 的 形式 , 而 不 是 以 主机 和 网 络 名 称 的 形式 输出 地 址 。 

第 二 列 显示 路 由 项 中 所 指向 的 网 关 。 如 果 没 有 使 用 网 关 ， 就 会 显示 星 号 。 

第 三 列 是 子 网 掩 码 。 

第 四 列 显示 路 由 的 标志 : U 表示 处 于 活动 状态 ， 瑟 表示 主机 ，G 表示 网 关 ，D 表示 动态 路 
由 ，M 表示 已 经 修改 过 。 

接 下 来 的 3 列 显示 MSS、Window 和 irtt， 它 们 将 被 应 用 于 通过 该 路 由 建立 的 TCP 连接 。 
MSS (Maximum Segment Size) 表示 “最 大 分 段 尺寸 ” 也 是 内 核 所 构建 以 通过 该 路 由 发 送 的 数 
据 报 的 最 大 尺寸 。Window 表示 系统 一 次 从 远程 主机 接收 突 发 的 最 大 量 数据 。 

首 字母 缩写 词 irtt 代表 “初始 往返 时 间 (initial round trip tim)”。TCP 协议 一 直 对 发 送 给 远 
程 端点 的 数据 报 和 接收 到 的 确认 所 花费 的 时 间 进 行 记 数 ， 以 便 知道 假定 要 重 发 数据 报 前 需要 等 
待 的 时 间 ， 这 个 过 程 称 为 往返 时 间 。 可 以 使 用 route 命令 设置 irtt 值 。 在 上 面 这 个 路 由 表 中 ， 这 
些 字段 均 为 0 值 ， 表 明正 在 使 用 默认 值 。 最 后 这 个 字段 表示 所 显示 的 路 由 使 用 的 网 络 接口 。 

用 -i 选项 调用 netstat 命令 可 以 显示 所 有 已 配置 接口 的 一 些 有 用 的 统计 信息 ， 这 是 一 个 用 于 
排除 网 络 故障 非常 有 用 的 工具 。 


9.2.6 Linux 文件 和 目录 管理 


每 种 操作 系统 都 有 自己 独特 的 文件 系统 ， 文 件 系统 包括 了 文件 的 组 织 结构 、 处 理 文件 的 数 
据 结构 和 操作 文件 的 方法 等 。Linux 自行 设计 开发 的 文件 系统 称 为 EXT2，Linux 还 支持 多 种 其 
他 操作 系统 的 文件 系统 ， 例 如 EXT3、XFS，NTFS、NFS 和 SYSV 等 。Linux 利用 虚拟 文件 系 
统 VFS 屏蔽 了 各 种 文件 系统 之 间 的 差别 ， 为 处 理 各 种 不 同文 件 系统 提 供 了 统一 的 接口 。 

1，Linux 文件 组 织 与 结构 


1) Linux 文件 组 织 

文件 系统 组 织 是 指 文件 存在 的 物理 空间 ，Linux 系统 中 的 每 个 分 区 都 是 一 个 文件 系统 ， 都 
有 自己 的 目录 层次 结构 。Linux 将 这 些 分 属 不 同 分 区 的 、 单 独 的 文件 系统 按 一 定 的 方式 形成 一 
个 系统 的 总 目录 层次 结构 。 

Linux 文件 系统 使 用 索引 节点 来 记录 文件 信息 ， 作 用 与 Windows 的 文件 分 配 表 类 似 。 索 引 
节点 是 一 个 数据 结构 ， 它 包含 了 一 个 文件 的 文件 名 、 位 置 、 大 小 、 建 立 或 修改 时 间 、 访问 权 限 、 
所 属 关系 等 文件 控制 信息 。 一 个 文件 系统 维护 了 一 个 索引 节点 的 数组 ， 每 个 文件 或 目录 都 与 索 
引 节 点 数组 中 的 唯一 一 个 元 素 对 应 。 系 统 为 每 个 索引 节点 分 配 了 一 个 号 码 ， 也 就 是 该 节点 在 数 
组 中 的 索引 号 ， 称 为 索引 节点 号 。 


第 9 章 “网 络 操作 系统 与 应 用 服务 器 “图 391 荐 


Linux 文件 系统 将 文件 索引 节点 号 和 文件 名 同时 保存 在 目录 中 。 所 以 ， 目 录 只 是 将 文件 的 
名 称 和 它 的 索引 节点 号 结合 在 一 起 的 一 张 表 ， 目 录 中 每 一 对 文件 名 称 和 索引 节点 号 称 为 一 个 
连接 。 

对 于 每 个 文件 都 有 一 个 唯一 的 索引 节点 号 与 之 对 应 ， 而 对 于 一 个 索引 节点 号 ， 却 可 以 有 多 
个 文件 名 与 之 对 应 。 因 此 ， 在 磁盘 上 的 同一 个 文件 可 以 通过 不 同 的 路 径 去 访问 它 。Linux 操作 
系统 可 以 用 hh 命令 对 一 个 已 经 存在 的 文件 再 建立 一 个 新 的 连接 ,而 不 复制 文件 的 内 容 。 连 接 有 
软 连接 和 硬 连接 之 分 ， 软 连接 又 叫 符号 连接 。 

2) Linux 文件 结构 

Linux 使 用 标准 的 目录 结构 ， 在 安装 的 时 候 ， 安 装 程序 就 已 经 为 用 户 创建 了 文件 系统 和 完 
整 而 固定 的 目录 组 成 形式 ， 并 指定 了 每 个 目录 的 作用 和 其 中 的 文件 类 型 。Linux 的 文件 系统 是 
操作 系统 的 重要 组 成 部 分 之 一 ， 和 其 他 操作 系统 一 样 用 于 管理 和 存储 文件 。 

Linux 文件 系统 采用 了 多 级 目录 的 树 型 层次 结构 管理 文件 。 树 型 结构 的 最 上 层 是 根 目录 ， 
用 “/ ”表示 ， 其 他 的 所 有 目录 都 是 从 根 目 录 出 发 生成 的 。Linux 将 所 有 的 软件 、 硬 件 都 作为 
文件 来 管理 ， 每 个 文件 被 保存 在 目录 中 。Linux 在 安装 时 系统 会 创建 一 些 默认 的 目录 ， 而 每 个 
目录 都 有 其 特殊 的 功能 ， 用 户 不 能 随意 修改 和 删除 。 微 软 的 DOS 和 Windows 也 是 采用 树 型 结 
构 ， 但 是 在 DOS 和 Windows 中 这 样 的 树 型 结构 的 根 是 磁盘 分 区 的 盘 符 ， 有 几 个 分 区 就 有 几 个 
树 型 结构 ， 它 们 之 间 的 关系 是 并 列 的 。 而 在 Linux 中 ， 无 论 操作 系统 管理 几 个 磁盘 分 区 ， 这 样 
的 目录 树 只 有 一 个 。 

3) Linux 文件 挂 载 

Linux 系统 中 的 每 个 分 区 都 是 一 个 文件 系统 , 都 有 自己 的 目录 层次 结构 。Linux 会 将 这 些 分 
属 不 同 分 区 的 、 单 独 的 文件 系统 按 一 定 的 方式 形成 一 个 系统 的 、 总 的 目录 层次 结构 。 这 里 所 说 
的 “ 按 一 定 方式 ”就 是 指 的 挂 载 。 所 谓 挂 载 ， 就 是 将 一 个 文件 系统 的 项 层 目 录 挂 到 另 一 个 文件 
系统 的 子 目 录 上 ， 使 它们 成 为 一 个 整体 ， 上 一 层 文 件 系统 的 子 目 录 就 称 为 挂 载 点 。 这 里 要 注意 
以 下 两 个 问题 。 





(1) 挂 载 点 必须 是 一 个 目录 ， 而 不 能 是 一 个 文件 。 
(2) 一 个 分 区 挂 载 在 一 个 已 存在 的 目录 上 ， 这 个 目录 可 以 不 为 室 ， 但 挂 载 后 这 个 目录 下 以 
前 的 内 容 将 不 可 用 。 


对 于 其 他 操作 系统 建立 的 文件 系统 的 挂 载 也 是 这 样 。 但 是 需要 注意 的 是 ， 对 于 光盘 、 软 盘 
等 硬件 存储 设备 ， 其 他 操作 系统 使 用 的 文件 系统 格式 与 Linux 使 用 的 文件 系统 格式 可 能 是 不 一 
样 的 ， 在 挂 载 前 要 了 解 Linux 是 否 支持 所 要 挂 载 的 文件 系统 格式 。 
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2. Linux 文件 类 型 与 访问 权限 


1) 文件 名 与 文件 类 型 

Linux 文件 名 的 规则 与 Windows 9x 中 的 基本 上 是 相同 的 。 它 同样 是 由 字母 、 数 字 、 下 画 线 、 
圆 点 组 成 ， 最 大 的 长 度 是 255 个 字符 。 

Linux 文件 系统 一 般 包括 5 种 基本 文件 类 型 ， 即 普通 文件 、 目 录 文 件 、 链 接 文件 、 设 备 文 
件 和 管道 文件 。 

(1) 普通 文件 : 计算 机 用 户 和 操作 系统 用 于 存放 数据 、 程 序 等 信息 的 文件 ， 一 般 又 分 为 文 
本 文件 和 二 进 制 文件 ， 例 如 C 语言 源 代 码 、Shell 脚本 、 二 进 制 的 可 执行 文件 等 。 

(2) 目录 文件 : 目录 文件 是 文件 系统 中 一 个 目录 所 包含 的 目录 项 组 成 的 文件 , 包括 文件 名 、 
子 目录 名 及 其 指针 。 用 户 进程 可 以 读 取 目录 文件 ， 但 不 能 对 它们 进行 修改 。 

(3) 链接 文件 : 链接 文件 又 称 符号 链接 文件 ， 通 过 在 不 同 的 文件 系统 之 间 建 立 链接 关系 来 
实现 对 文件 的 访问 ， 它 提供 了 共享 文件 的 一 种 方法 。 

(4) 设备 文件 ， 在 Linux 系统 中 ， 把 每 一 种 IO 设备 都 映射 成 为 一 个 设备 文件 ， 可 以 像 普 
通 文 件 一 样 处 理 ， 这 就 使 得 文件 与 设备 的 操作 尽 可 能 统一 。 

(5) 管道 文件 ， 主 要 用 于 在 进程 间 传 递 数 据 。Linux 对 管道 的 操作 与 文件 操作 相同 ， 它 把 
管道 作为 文件 进行 处 理 。 管 道 文件 又 称 先进 先 出 〈FIFO) 文件 。 

从 对 文件 内 容 处 理 的 角度 而 言 ， 无 论 是 哪 种 类 型 的 文件 ，Linux 都 把 它们 看 作 是 无 结构 的 
流 式 文件 ， 即 把 文件 的 内 容 看 作 是 一 系列 有 序 的 字符 流 。 

2) 文件 和 目录 访问 权限 

在 Linux 这 样 的 多 用 户 操作 系统 中 ， 为 了 保证 文件 信息 的 安全 ，Linux 给 每 个 文件 都 设 定 
了 一 定 的 访问 权限 。Linux 中 的 每 一 个 文件 都 归 某 一 个 特定 的 用 户 所 有 ， 而 且 一 个 用 户 一 般 总 
是 与 某 个 用 户 组 相关 。Linux 对 文件 的 访问 设 定 了 三 级 权限 : 文件 所 有 者 、 与 文件 所 有 者 同 组 
的 用 户 及 其 他 用 户 。 对 文件 的 访问 主要 是 三 种 处 理 操作 : 读 取 、 写 入 和 执行 。 三 级 访问 权限 和 
三 种 处 理 操作 组 合 就 形成 了 9 种 情况 ， 可 以 用 它 来 确定 哪个 用 户 可 以 通过 何 种 方式 对 文件 和 目 
录 进 行 访问 和 操作 。 同 时 ， 用 户 可 以 为 自己 的 文件 赋予 适当 的 权限 ， 以 保证 他 人 不 能 修改 和 访 
问 。 当 用 ls -1 命令 显示 文件 或 目录 的 详细 信息 时 , 每 一 个 文件 或 目录 的 列表 信息 分 为 4 个 部 分 ， 
其 中 最 左边 的 一 位 是 第 一 部 分 , 标识 Linux 操作 系统 的 文件 类 型 其余 三 部 分 是 三 组 访问 权限 
每 组 用 三 位 表示 ， 如 图 9-25 所 示 。 
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可 读 的 ”可 写 的 ”可 执行 的 ”无 访问 权限 
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文件 类 型 用 户 权限 。 用 户 组 权限 其 他 用 户 权限 
图 9-25 文件 权限 


在 文件 被 创建 时 ,文件 所 有 者 可 以 对 该 文件 的 权限 进行 设置 。 在 默认 情况 下， 系统 将 创建 
的 普通 文件 的 权限 设置 为 -rw-rr-， 即 文件 所 有 者 对 该 文件 可 读 可 写 (rw)， 而 同 组 用 户 和 其 他 
用 户 都 只 可 读 ; 同样 ， 在 默认 配置 中 ， 将 每 一 个 用 户 所 有 者 目录 的 权限 都 设置 为 drwx------， 即 
只 有 文件 所 有 者 对 该 目录 可 读 、 可 写 和 可 查询 (rwx)， 即 用 户 不 能 读 其 他 用 户 目录 中 的 内 容 。 


3. Linux 文件 和 目录 操作 命令 


(1) cat 命令 。cat 命令 用 来 在 屏幕 上 滚动 显示 文件 的 内 容 ， 如 同 DOS 下 的 type 命令 。cat 
命令 也 可 以 同时 查看 多 个 文件 的 内 容 ， 还 可 以 用 来 合并 文件 。cat 命令 的 一 般 格式 如 下 。 
cat [- 选 项 ] fleName [filename2] … [fileNameN] 


重要 选项 参数 说 明 如 下 。 

。  -n; 由 1 开始 对 文件 所 有 输出 的 行 数 编号 。 

。 ”-b: 和 -n 相似 ， 只 不 过 对 于 空白 行 不 编号 。 

。 ”-s: 当 遇 到 有 连续 两 行 以 上 的 空白 行 时 就 替换 为 一 个 空白 行 。 

。 -Vv: 显示 非 打 印字 符 。 

(2) more 命令 。 如 果 文本 文件 比较 长 ， 一 屏 显示 不 完 ， 这 时 可 以 使 用 more 命令 将 文件 内 
容 分 屏 显示 。 每 次 显示 一 屏 文本 ， 显 示 满 屏 后 停 下 来 ， 并 提示 已 显示 文件 内 容 的 百分比 ， 按 空 
格 键 继续 显示 下 一 屏 。 如 同 DOS 下 带 参数 的 type/p 命令 。 

(3) less 命令 。less 命令 的 功能 与 more 命令 很 相似 ， 也 是 按 页 显示 文件 ， 不 同 的 是 less 命 
令 在 显示 文件 时 允许 用 户 既 可 以 向 前 也 可 以 向 后 翻阅 文件 。 按 B 键 向 前 翻 页 显示 ; 按 了 键 向 后 
翻 页 显示 ; 输入 百分比 显示 指定 位 置 ; 按 Q 键 退出 显示 。 

(4) 文件 复制 命令 cp。cp 命令 的 功能 是 把 指定 的 源 文件 复制 到 目标 文件 或 是 把 多 个 源 文 
件 复制 到 目标 目录 中 。 如 同 DOS 下 的 copy 命令 一 样 。cp 命令 的 一 般 格式 如 下 。 


cp [- 选 项 ] sourcefileName | directorydestfileName | directory 
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重要 选项 参数 说 明 如 下 。 
。 ”-a: 整个 目录 复制 。 它 保留 链接 、 文 件 属性 ， 并 递归 地 复制 子 目录 。 
。 ”下 : 删 除 已 经 存在 的 目标 文件 且 不 提示 。 
。 -和 工 选 项 相反 ， 在 覆盖 目标 文件 之 前 将 给 出 提示 要 求 用 户 确认 。 回 答 y 时 目标 文 
件 将 被 覆盖 ， 是 交互 式 复制 。 
。 -p: 此 时 cp 除 复制 源 文件 的 内 容 外 ， 还 把 其 修改 时 间 以 及 访问 权限 也 复制 到 新 文 
件 中 。 
。 -有 R: 若 给 出 的 源 文件 是 一 个 目录 文件 ， 此 时 ，cp 将 递归 复制 该 目录 下 所 有 的 子 目 录 和 
文件 。 此 时 目标 文件 必须 为 一 个 目录 名 。 
。 -不 作 复制 ， 只 是 链接 文件 。 
需要 说 明 的 是 ， 为 防止 用 户 在 不 经 意 的 情况 下 用 cp 命令 破坏 另 一 个 文件 ， 如 用 户 指定 的 
目标 文件 名 是 一 个 已 存在 的 文件 名 , 用 cp 命令 复制 文件 后 , 这 个 文件 就 会 被 新 复制 的 源 文件 覆 
盖 ， 因 此 ， 一 般 在 使 用 cp 命令 复制 文件 时 使 用 -i 选项 。 
(5) 文 件 移动 命令 mv。 mv 命令 为 文件 或 目录 改名 或 将 文件 由 一 个 目录 移入 另 一 个 目录 中 。 
该 命令 相当 于 DOS 下 的 ren 和 move 的 组 合 。mv 命令 的 一 般 格式 如 下 。 
myv [- 选 项 ] sourcefileName | directorydestfileName | directory 
重要 选项 参数 说 明 如 下 。 
。 -i: 交互 方式 操作 。 如 果 mv 操作 将 导致 对 已 存在 的 目标 文件 的 覆盖 ， 此 时 系统 询问 
是 否 重 写 ， 要 求 用 户 回 答 y 或 na， 这 样 可 以 避免 误 覆 盖 文 件 。 
。 -上 禁止 交互 操作 。 在 mv 操作 要 覆盖 某 已 有 的 目标 文件 时 不 给 任何 指示 ， 指 定 此 选 
项 后 ，i 选项 将 不 再 起 作用 。 
根据 mv 命令 中 第 二 个 参数 类 型 的 不 同 (是 目标 文件 还 是 目标 目录 ) ,mv 命令 将 文件 重 命 
名 或 将 其 移 至 一 个 新 的 目录 中 。 当 第 二 个 参数 类 型 是 文件 时 ，myv 命令 完成 文件 重 命名 ， 此 时 ， 
源 文件 只 能 有 一 个 (也 可 以 是 源 目录 名 ) ， 它 将 所 给 的 源 文件 或 目录 重 命名 为 给 定 的 目标 文件 
名 。 当 第 二 个 参数 是 已 存在 的 目录 名 称 时 ， 源 文件 或 目录 参数 可 以 有 多 个 ，mv 命令 将 各 参数 
指定 的 源 文件 均 移 至 目标 目录 中 。 在 跨 文 件 系 统 移动 文件 时 ，myv 先 复制 ， 再 将 原 有 文件 删除 ， 
而 链 至 该 文件 的 链接 也 将 丢失 。 
需要 注意 的 是 ，myv 与 cp 的 结果 不 同 。mv 好 像 文件 “搬家 ”， 文 件 个 数 并 未 增加 ; 而 cp 
对 文件 进行 复制 ， 文 件 个 数 增加 了 。 
(6) 文件 删除 命令 mm。 mm 命令 的 功能 是 删除 指定 的 一 个 目录 中 的 一 个 或 多 个 文件 或 目录 ， 
它 也 可 以 将 某 个 目录 及 其 下 的 所 有 文件 及 子 目录 均 删 除 。 对 于 链接 文件 ， 只 是 删除 了 链接 ， 原 
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有 文件 均 保 持 不 变 。rm 命令 的 一 般 格式 如 下 。 


rm [- 选 项 ] fleName | directory… 


重要 选项 参数 说 明 如 下 。 
。 ”二 忽略 不 存在 的 文件 ， 从 不 给 出 提示 。 

。 -指示 mm 将 参数 中 列 出 的 全 部 目录 和 子 目 录 均 递归 地 删除 。 

。 ”i 进行 交互 式 删 除 。 

在 使 用 mm 命令 时 要 格外 小 心 ， 因 为 一 旦 文件 被 删除 ， 它 是 不 能 被 恢复 的 。 为 了 防止 此 种 
情况 的 发 生 ， 可 以 使 用 mm 命令 中 的 -i 选项 来 确认 要 删除 的 每 个 文件 ， 如 果 用 户 输入 y， 文 件 将 
被 删除 ， 否 则 文件 将 被 保留。 

(7) 创建 目录 命令 mkdir。 mkdir 命令 的 功能 是 在 当前 目录 中 建立 一 个 指定 的 目录 。 要 求 创 
建 目录 的 用 户 在 当前 目录 中 具有 写 权 限 ， 并 且 当前 目录 中 没有 与 之 相同 的 目录 或 文件 名 称 。 它 
类 似 DOS 下 的 md 命令 。mkdir 命令 的 一 般 格式 如 下 。 


mkdir [- 选 项 ] dirName 





重要 选项 参数 说 明 如 下 。 
。 ”-m:; 对 新 建 目录 设置 存 取 权 限 ， 也 可 以 用 chmod 命令 设置 。 
。 ”-p: 可 以 是 一 个 路 径 名 称 。 此 时 若 路 径 中 的 某 些 目录 尚 不 存在 ， 加 上 此 选项 后 ， 系 统 
将 自动 建 好 那些 尚 不 存在 的 目录 ， 即 一 次 可 以 建立 多 个 目录 。 
(8) 删除 目录 命令 mdir。rmdir 命令 的 功能 是 从 一 个 目录 中 删除 一 个 或 多 个 子 目 录 项 。 在 
删除 某 目录 时 也 必须 具有 对 当前 目录 的 写 权 限 。rmdir 命令 的 一 般 格 式 如 下 。 
rmdir [- 选 项 ] dirName 


最 常用 的 参数 选项 是 -p， 其 作用 是 递归 删除 目录 ， 当 子 目录 删除 后 其 父 目录 为 空 时 ， 也 一 
同 被 删除 。 

例如 运行 下 列 命令 。 

[root@redhat-64 ~]}# rmdir -p /usr/tmp 


把 /usrtmp 目录 删除 。 

(9) 改变 目录 命令 cd。cd 命令 的 功能 是 将 当前 目录 改变 到 指定 的 目录 ， 若 没有 指定 目录 ， 
则 显示 用 户 当 前 所 在 的 主 目录 路 径 。cd 命令 为 了 改变 到 指定 目录 ,用户 必须 拥有 对 指定 目录 的 
执行 和 读 权限 。cd 命令 的 一 般 格 式 如 下 。 


cd [directory] 
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cd 命令 的 使 用 与 DOS 下 的 cd 命令 基本 相同 ， 需 要 注意 的 是 ， 不 管 目录 名 是 什么 ，ed 与 
目录 名 之 间 必 须 有 空格 。 如 果 直接 输入 命令 cd， 而 不 加 任何 参数 ， 则 回 到 当前 用 户 的 主 目录 。 
例如 ， 假 设 用 户 当前 目录 是 /home/sun， 现 需要 更 换 到 /home/sun/pro 目录 中 。 


[root@redhat-64 ~]#cd pro 


此 时 ， 用 户 可 以 执行 pwd 命令 来 显示 工作 目录 。 
(10) 显示 当前 目录 命令 pwd。pwd 命令 的 功能 是 显示 用 户 当前 所 处 的 目录 ， 该 命令 显示 
整个 路 径 名 ， 并 且 显 示 的 是 当前 工作 目录 的 绝对 路 径 。pwd 命令 的 一 般 格式 如 下 。 


pwd 
例如 ， 在 /home/sun 目录 下 运行 命令 。 
[root@redhat-64 ~]#pwd 


显示 的 路 径 名 为 home/sun， 每 个 目录 名 都 用 “/” 隔 开 ， 根 目录 以 开头 的 “/” 表 示 。 

(11) 列 目录 命令 ls。ls 命令 是 英文 单词 list 的 简写 ， 其 功能 为 列 出 当前 目录 的 内 容 。 这 是 
Linux 系统 中 用 户 最 常用 和 最 重要 的 命令 之 一 ， 因 为 用 户 需要 不 时 地 查看 某 个 目录 的 内 容 。 对 
于 每 个 目录 ，ls 命令 将 列 出 其 中 的 所 有 子 目 录 与 文件 。 对 于 每 个 文件 ，ls 将 列 出 其 文件 名 以 及 
根据 命令 参数 所 要 求 的 其 他 信息 。 默 认 情 况 下 ， 输 出 条 目 按 字 母 顺序 排列 。 如 果 未 给 出 目录 名 
或 是 文件 名 ， 则 显示 当前 目录 的 信息 。 该 命令 类 似 于 DOS 下 的 dir 命令 。ls 命令 的 一 般 格 式 
如 下 。 

ls [- 选 项 ]fileName | directory 


重要 选项 参数 说 明 如 下 。 
。 ”-a: 显示 指定 目录 下 所 有 子 目录 与 文件 ， 包 括 隐藏 文件 。 
。 ”-c: 按 文 件 的 修改 时 间 排序 。 
。 ”-d: 如 果 参 数 是 目录 ， 只 显示 其 名 称 而 不 显示 其 下 的 各 文件 。 
。 -1 在 输出 的 第 一 列 显示 文件 的 1 节点 号 。 
。 ”-l: 以 长 格式 来 显示 文件 的 详细 信息 ， 这 是 ls 命令 最 常用 的 参数 。 使 用 -1 参数 每 行列 
出 的 信息 依次 是 文件 类 型 与 访问 权限 、 链 接 数 、 文 件 所 有 者 、 文 件 属 组 、 文 件 大 小 、 
建立 或 最 近 修 改 的 时 间 和 名 字 。 
(12) 文件 访问 权限 命令 chmod。chmod 命令 用 于 改变 文件 或 目录 的 访问 权限 ， 这 是 Linux 
系统 管理 员 最 常用 到 的 命令 之 一 。 默 认 情况 下 , 系统 将 新 创建 的 普通 文件 的 权限 设置 为 -rw-rr-， 
将 每 一 个 用 户 所 有 者 目录 的 权限 都 设置 为 drwx------。 用 户 根据 需要 可 以 通过 命令 修改 文件 和 目 
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录 的 默认 存 取 权限 。 只 有 文件 所 有 者 或 超级 用 户 root 才 有 权 用 chmod 改变 文件 或 目录 的 访问 权 
限 。chmod 命令 的 一 般 格 式 如 下 。 


chmod [- 选 项 ] mode fileName… 





重要 选项 参数 说 明 如 下 。 

。 ”-c; 车 该 档案 权限 确实 已 经 更 改 ， 才 显示 其 更 改动 作 。 

。 -Vv， 显示 权限 变更 的 详细 资料 。 

。 ”-R: 对 当前 目录 下 的 所 有 文件 与 子 目录 进行 相同 的 权限 变更 。 
。 ”-mode: 权限 设 定 字符 串 。 字 符 中 格式 为 : 


[agoa…][I+ 一 ErwxX]…][] 


其 中 ，u 表示 文件 的 所 有 者 、g 表示 与 文件 的 所 有 者 属于 同一 个 组 (group) 者 、o 表示 其 他 的 
人 、a 表 示 这 三 者 都 是 ，+ 表 示 增 加 权限 、- 表 示 取 消 权 限 、= 表 示 唯 一 设 定 权 限 ; r 表示 可 读 取 、 
WwW 表示 可 写 入 、x 表示 可 执行 、X 表示 只 有 当 该 文件 是 一 个 子 目录 或 文件 已 经 被 设 定 过 时 可 
执行 。 

例如 ， 运 行 命令 : 

[root@redhat-64 ~]#chmod gtrw myfile.txt 


可 以 为 同 组 用 户 增加 对 文件 myfile.txt 的 读 / 写 权限 。 

(13) 文件 链接 命令 In。lIn 命令 的 功能 是 在 文件 之 间 创 建 链接 。 这 种 操作 实际 上 是 给 系统 
中 己 有 的 某 个 文件 指定 另外 一 个 可 用 于 访问 它 的 名 称 。 对 于 这 个 新 的 文件 名 ， 可 以 为 其 指定 不 
同 的 访问 权限 ， 以 控制 对 信息 的 共享 和 安全 性 的 问题 。 如 果 链接 指向 目录 ， 用 户 就 可 以 利用 该 
链接 直接 进入 被 链接 的 目录 而 不 用 输入 复杂 的 路 径 名 。 而 且 ， 即 使 删除 这 个 链接 ， 也 不 会 破坏 
原来 的 目录 。hn 命令 的 一 般 格式 如 下 。 


ln [- 选 项 ]sourcefileName | directorydestfileName | directory 
E 要 选项 参数 说 明 如 下 。 
二 文件 链接 时 先 将 与 dest 同文 件 名 的 文件 删除 。 
。 ”-d: 允许 系统 管理 者 硬 链接 自己 的 目录 。 
1 
S 





®. ly 


-i: 在 删除 与 dest 同文 件 名 的 文件 时 先进 行 询问 。 
-s: 进行 符号 链接 (symbolic link) 。 
-v: 在 文件 链接 之 前 显示 其 文件 名 。 
。 ”-b: 将 在 链接 时 会 被 覆 写 或 删除 的 文件 进行 备份 。 
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如 果 给 mm 命令 加 上 -s 选项 ， 则 建立 符号 链接 。 如 果 “ 链 接 名 ”已 经 存在 但 不 是 目录 ， 将 不 
做 链接 。“ 链 接 名 ”可 以 是 任何 一 个 文件 名 〈 可 包含 路 径 ) ， 也 可 以 是 一 个 目录 ， 并 且 人 允许 它 
与 “目标 ”不 在 同一 个 文件 系统 中 。 如 果 “ 链 接 名 ”是 一 个 已 经 存在 的 目录 ， 系 统 将 在 该 目录 
下 建立 一 个 或 多 个 与 “目标 ”同名 的 文件 ， 此 新 建 的 文件 实际 上 是 指向 原 “ 目 标 ” 的 符号 链接 
交 件 。 

例如 运行 命令 : 

[root@redhat-64 ~]#ln - s lunch /home/sun 
用 户 为 当前 目录 下 的 文件 lunch 创建 了 一 个 符号 链接 /home/sun。 


9.2.7 Linux 用 户 和 组 管理 


Linux 系统 是 一 个 多 用 户 、 多 任务 的 分 时 操作 系统 ， 在 Linux 中 用 户 和 用 户 组 管理 是 系统 
管理 的 重要 内 容 。Linux 系统 将 用 户 分 为 组 群 管理 以 简化 访问 控制 ， 以 避免 为 众多 用 户 分 别 设 
置 权限 。 本 节 的 内 容 主 要 讨论 如 何在 命令 行 界面 下 完成 用 户 账号 、 组 的 建立 和 维护 等 问题 。 


1. 用 户 管理 概述 


在 Linux 操作 系统 中 ,每 个 文件 和 程序 必须 属于 某 一 个 “用 户 ”， 每 个 用 户 对 应 一 个 账号 。 
在 Red Hat Linux 安装 完成 后 ， 系 统 本 身 已 创建 了 一 些 特殊 用 户 ， 它 们 具有 特殊 的 意义 ， 其 中 最 
重要 的 是 超级 用 户 ， 即 根 用 户 root。 
超级 用 户 root 承担 了 系统 管理 的 一 切 任务 ， 可 以 控制 所 有 的 程序 ， 访 问 所 有 文件 ， 使 用 系 
统 中 的 所 有 功能 和 资源 。Linux 系统 中 其 他 的 一 些 组 群 和 用 户 都 是 由 root 来 创建 的 。 
用 户 和 组 群 管理 的 基本 概念 如 下 。 
e。 ”用 户 标 识 CUID) : 系统 中 用 来 标识 用 户 的 数字 。 
。 ”用 户主 目录 : 也 就 是 用 户 的 起 始 工作 目录 ， 它 是 用 户 在 登录 系统 后 所 在 的 目录 ， 用 户 
的 文件 都 放置 在 此 目录 下 。 在 大 多 数 系统 中 ， 各 用 户 的 主 目录 都 被 组 织 在 同一 个 特定 
的 目录 下 ， 而 用 户主 目录 的 名 称 就 是 该 用 户 的 登录 名 。 
。 ”登录 Shell: 用 户 登录 后 启动 以 接收 用 户 的 输入 并 执行 输入 相应 命令 的 脚本 程序 ， 即 
Shell，Shell 是 用 户 与 Linux 系统 之 间 的 接口 。 
。 用户 组 /组 群 : 具有 相似 属性 的 多 个 用 户 被 分 配 到 一 个 组 中 。 
。 组 标识 (GID) : 用 来 表示 用 户 组 的 数字 标识 。 
超级 用 户 在 系统 中 的 用 户 ID 和 组 DD 都 是 0, 普通 用 户 的 用 户 ID (UID) 从 500 开始 编号 ， 
并 且 默 认 属 于 与 用 户 名 同名 的 组 ,组 ID 〈(GID) 也 从 500 开始 编号 。 
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2. 用 户 管理 配置 文件 


Linux 系统 中 用 户 和 组 群 的 管理 是 通过 对 有 关 的 系统 文件 进行 修改 和 维护 实现 的 ， 与 用 户 
和 用 户 组 相关 的 管理 维护 信息 都 存放 在 一 些 系统 文件 中 ， 其 中 较为 重要 的 文件 有 /etc/passwd、 
/etc/shadow 和 /etc/group 等 。 

(1) /etc/passwd 文件 。/etc/passwd 文件 是 Linux 系统 中 用 于 用 户 管理 的 最 重要 的 文件 ， 这 
个 文件 对 所 有 用 户 都 是 可 读 的 。Linux 系统 中 的 每 个 用 户 在 /etc/passwd 文件 中 都 有 一 行 对 应 的 
记录 ， 每 一 记录 行 都 用 冒号 〈: ) 分 为 7 个 域 ， 记 录 了 这 个 用 户 的 基本 属性 。 记 录 行 的 形式 
如 下 。 

用 户 名 : 加 密 的 口令 : 用 户 ID: 组 IJD: 用 户 的 全 名 或 描述 : 登录 目录 : 登录 shell 


其 中 , 用 户 ID (UID) 对 于 每 一 个 用 户 必 须 是 唯一 的 ， 系 统 内 部 用 它 来 标识 用 户 ， 一 般 情 况 下 
它 与 用 户 名 是 一 一 对 应 的 。 如 果 几 个 用 户 名 对 应 了 同一 个 用 户 标识 号 ， 那 么 系统 内 部 将 把 它们 
视 为 具有 不 同 用 户 名 的 同一 个 用 户 ， 但 是 它们 可 以 有 不 同 的 口令 、 不 同 的 主 目录 以 及 不 同 的 登 
录 shell 等 。 编号 0 是 root 用 户 的 UID, 编号 1 一 99 是 系统 保留 的 UID, 100 以 上 给 用 户 做 标识 。 
Linux 系统 把 每 一 个 用 户 仅仅 看 成 是 一 个 数字 ， 即 用 每 个 用 户 唯一 的 用 户 ID 来 识别 ， 配 置 文件 
/etc/passwd 给 出 了 系统 用 户 ID 与 用 户 名 之 间 及 其 他 信息 的 对 应 关系 。 

由 于 /etc/passwd 文件 对 所 有 用 户 都 可 读 ， 所 以 目前 许多 Linux 系统 都 使 用 了 shadow 技术 ， 
把 真正 的 加 密 后 的 用 户口 令 字 存放 到 /etc/shadow 文件 中 ， 而 在 /etc/passwd 文件 的 口令 字段 中 只 
存放 一 个 特殊 的 字符 ， 例 如 x 或 者 “*”， 并 且 该 文件 只 有 根 用 户 root 可 读 ， 因 而 大 大 提高 了 系 
统 的 安全 性 。 

(2) /etc/shadow 文件 。 为 了 保证 系统 中 用 户 的 安全 性 ，Linux 系统 另外 建立 了 一 个 只 有 超 
级 用 户 root 能 读 的 文件 /etc/shadow， 该 文件 包含 了 系统 中 的 所 有 用 户 及 其 口令 等 相关 信息 。 每 
个 用 户 在 该 文件 中 对 应 一 行 ， 并 且 用 冒号 〈: ) 分 成 9 个 域 。 每 一 行 包括 以 下 内 容 : 

G@ 用 户 登录 名 ; 

@ 用 户 加 密 后 的 口令 〈 若 为 室 ， 表 示 该 用 户 不 需 口令 即 可 登录 ; 若 为 * 号 ,表示 该 账号 被 
禁止 ) ; 

@ 从 1970 年 1 月 1 日 至 口令 最 近 一 次 被 修改 的 天 数 ; 

@ 口令 在 多 少 天 内 不 能 被 用 户 修改 ; 

@@ 口令 在 多 少 天 后 必须 被 修改 ; 

@ 口令 过 期 多 少 天 后 用 户 账号 被 禁止 ; 

@ 口令 在 到 期 多 少 天 内 给 用 户 发 出 警告 ; 

口令 自 1970 年 1 月 1 日 起 被 禁止 的 天 数 ; 
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@ 保留 域 。 

(3) /etc/group 文件 。 在 Linux 系统 中 , 使 用 组 来 赋予 同 组 的 多 个 用 户 相同 的 文件 访问 权限 。 
一 个 用 户 也 可 以 同时 属于 多 个 组 。 管理 用 户 组 的 基本 文件 是 /etc/group， 与 用 户 账号 基本 文件 相 
似 ， 每 个 组 在 文件 /etc/group 中 也 有 一 行 记录 与 之 对 应 ， 每 一 行 记录 用 冒号 〈: ) 分 为 4 个 域 ， 
记录 了 这 个 用 户 组 的 基本 属性 信息 。 记 录 行 的 形式 如 下 。 

用 户 组 名 : 加 密 后 的 组 口令 : 组 JP: 组 成 员 列 表 

下 面 是 用 户 组 sys 在 /etc/group 中 对 应 的 记录 行 : 

sys:X:3:Tootbin,adm 


其 代表 的 信息 包括 系统 中 有 一 个 称 为 sys 的 用 户 组 ， 设 有 口令 , 组 ID 为 3， 组 中 的 成 员 有 
root、bin 和 adm3 个 用 户 。 

Linux 在 系统 安装 时 创建 了 一 些 标准 的 用 户 组 ， 在 一 般 情况 下 ， 建 议 不 要 对 这 些 用 户 组 进 
行 删 除 和 修改 。 


3 用户 和 组 管理 命令 


1) 用 户 管理 

用 户 管理 操作 的 工作 就 是 建立 一 个 合法 的 用 户 账 户 、 设 置 和 管理 用 户 的 密码 、 修 改 用 户 账 
户 的 属性 以 及 在 必要 时 删除 已 经 废弃 的 用 户 账号 。 

在 Linux 中 增加 一 个 用 户 就 是 在 系统 中 创建 一 个 新 账号 ， 然 后 为 新 账号 分 配 用 户 号 、 用 户 
组 、 主 目录 和 登录 shell 等 资源 。 在 Linux 系统 中 ， 只 有 具有 超级 用 户 权 限 的 用 户 才能 够 创建 一 
个 新 用 户 。 增 加 一 个 新 用 户 的 命令 格式 如 下 。 


adduser [- 选 项 ] username 


常用 选项 参数 说 明 如 下 。 

。 ”-d: 指定 用 于 取代 默认 /home/usemame 的 用 户主 目录 。 

。 ”-g: 用 户 所属 用 户 组 的 组 名 或 组 ID 〈 用 户 组 在 指定 前 应 存在 ) 。 

。 ”-m: 若 指定 用 户主 目录 不 存在 则 创建 。 

。 ”-p: 使 用 crypt 加 密 的 口令 。 

。 ”-s: 指定 用 户 登录 shell， 默 认为 /bin/bash。 

。 -uuid: 指定 用 户 的 UD， 它 必须 是 唯一 的 ， 且 大 于 499。 

增加 用 户 账号 就 是 在 /etc/passwd 文件 中 为 新 用 户 增加 一 条 记录 ， 同 时 更 新 其 他 系统 文件 ， 
如 /etc/shadow、/etc/group 等 。 
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例如 ， 运 行 下 列 命令 将 新 建 一 个 登录 名 为 userl 的 用 户 。 
[root@redhat-64 ~]# useradd userl 


在 默认 情况 下 ， 将 会 在 home 目录 下 新 建 一 个 与 用 户 名 相同 的 用 户主 目录 。 如 果 需 要 另外 
指定 用 户主 目录 ， 可 以 运行 如 下 命令 。 


[root@redhat-64 ~]# useradd -d /home/lin userl 


在 Linux 中 ， 新 增 一 个 用 户 的 同时 会 创建 一 个 新 组 ， 这 个 组 与 该 用 户 同名 ， 而 这 个 用 户 就 
是 该 组 的 成 员 。 如 果 想 让 新 的 用 户 归 属于 一 个 已 经 存在 的 组 ， 可 以 运行 如 下 命令 。 


[root@redhat-64 ~]# useradd -g manager userl 


这 样 用 户 userl 就 属于 组 manager 中 的 一 员 了 。 

需要 注意 的 是 ， 新 增加 的 这 个 用 户 账号 是 被 锁定 的 ， 无 法 使 用 。 因 为 还 没 给 它 设置 初始 密 
码 , 而 没有 密码 的 用 户 是 不 能 够 登录 系统 的 , 因此 下 面 应 该 使 用 passwd 命令 为 新 建 用 户 设置 一 
个 初始 密码 作为 登录 口令 。 

Linux 系统 出 于 安全 考虑 ， 系 统 中 的 每 一 个 用 户 除 了 用 户 名 外 ， 还 设置 了 登录 系统 的 用 户 
口令 。 用 户 账号 刚 创 建 时 没有 口令 ， 但 是 被 系统 锁定 ， 无 法 使 用 ， 必 须 为 其 指定 口令 后 才 可 以 
使 用 ， 即 使 是 指定 空 口令 。 指 定 和 修改 用 户口 令 的 命令 是 passwd。 超 级 用 户 可 以 为 自己 和 其 他 
用 户 指定 口令 ， 普 通用 户 只 能 用 它 修 改 自己 的 口令 。passwd 命令 的 一 般 格式 如 下 。 





passwd [- 选 项 ] [usemame] 


常用 选项 参数 说 明 如 下 。 
。 ”-l: 锁定 口令 ， 即 禁用 账号 。 
。 -u: 口令 解锁 。 


。 ”-d: 使 账号 无 口令 。 

。 二 强迫 用 户 下 次 登录 时 修改 口令 。 

如 果 不 指 定 用 户 名 ， 则 修改 当前 用 户 自己 的 口令 。 普 通用 户 修改 自己 的 口令 时 ，passwd 命 
令 会 先 询问 原 口 令 ， 验 证 后 再 要 求 用 户 输入 两 遍 新 口令 ， 如 果 两 次 输入 的 口令 一 致 ， 则 将 这 个 
口令 指定 给 用 户 ; 而 超级 用 户 为 用 户 指定 口令 时 就 不 需要 知道 原 口令 。 

例如 ， 超 级 用 户 要 设置 或 改变 用 户 newuser 的 口令 时 可 运行 命令 : 

[root@redhat-64 ~]# passwd newuser 


系统 会 提示 输入 新 的 口令 ， 新 口令 需要 输入 两 次 。 出 于 安全 的 原因 ， 输 入 口令 时 不 会 在 屏幕 上 
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回 显 出 来 。 
有 时 需要 临时 禁止 一 个 用 户 账号 的 使 用 而 不 是 删除 它 ， 可 以 采用 以 下 两 种 方法 实现 临时 禁 
止 一 个 用 户 的 操作 。 


(1) 把 用 户 的 记录 从 /etc/passwd 文件 中 注释 掉 ， 保 留 其 主 目 录 和 其 他 文件 不 变 ; 

(2) 在 /etc/passwd 文件 (或 /etc/shadow) 中 关于 该 用 户 的 passwd 域 的 第 一 个 字符 前 面 加 上 
一 个 人 号 。 

删除 用 户 命令 userdel 的 功能 是 系统 中 如 果 一 个 用 户 的 账号 不 再 使 用 ， 可 以 将 其 从 系统 中 
删除 。 删 除 一 个 用 户 的 命令 格式 如 下 。 


userdel [- 选 项 ] username 


最 常用 的 参数 选项 是 -r， 它 的 作用 是 把 用 户 的 主 目录 一 起 删除 。 

删除 用 户 账号 就 是 要 将 /etc/passwd 等 系统 文件 中 的 该 用 户 记 录 删 除 ， 必 要 时 还 删除 用 户 的 
主 目录 ， 可 以 使 用 “userdel -r 用 户 名 ”来 实现 这 一 目的 。 因 此 ， 完 全 删除 一 个 用 户 包括 : 

(1) 删除 /etc/passwd 文件 中 此 用 户 的 记录 ; 

(2) 删除 /etc/group 文件 中 该 用 户 的 信息 ; 

(3) 删除 用 户 的 主 目录 ; 

(4) 删除 用 户 所 创建 的 或 属于 此 用 户 的 文件 。 

例如 ， 运 行 下 列 命令 。 


[root@redhat-64 ~]# userdel —r userl 


可 以 删除 用 户 userl 在 系统 的 账号 及 其 在 用 户 管理 配置 文件 中 (主要 是 /etc/passwd、/etc/shadow 
和 /etc/group 等 ) 的 记录 ， 同 时 删除 用 户 的 主 目录 。 

用 户 在 系统 使 用 过 程 中 可 以 随时 使 用 su 命令 来 改变 身份 。 例 如 ， 系 统管 理 员 在 平时 工作 
时 可 以 用 普通 账号 登录 ， 在 需要 进行 系统 维护 时 用 su 命令 获得 root 权限 ， 之 后 为 了 安全 再 用 
su 回 到 原 账号 。su 命令 的 一 般 格式 如 下 。 


su [username] 


username 是 要 切换 到 的 用 户 名 ， 如 果 不 指定 用 户 名 ， 则 默认 将 用 户 身份 切换 为 root， 系 统 
会 要 求 给 出 正确 的 口令 。 

2) 用 户 组 管理 

每 个 用 户 都 有 一 个 用 户 组 , 系统 可 以 对 一 个 用 户 组 中 的 所 有 用 户 进行 集中 管理 .默认 Linux 
下 的 用 户 属于 与 它 同名 的 用 户 组 ， 这 个 用 户 组 在 创建 用 户 时 同时 创建 。 与 用 户 管理 相 类 似 ， 用 
户 组 的 管理 包括 组 的 增加 、 删 除 和 修改 ， 实 际 上 就 是 通过 修改 /etc/group 文件 实现 这 些 操作 。 
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Linux 系统 中 将 一 个 新 用 户 组 加 入 系统 的 命令 是 groupadd。 该 命令 的 一 般 格 式 如 下 。 
groupadd [- 选 项 ] groupname 


常用 选项 参数 说 明 如 下 。 

。 ”-g GID: 指定 用 户 组 的 GID， 它 必须 是 唯一 的 ， 且 大 于 499。 

。 <-: 创建 小 于 500 的 系统 用 户 组 。 

。 ”十 若 用 户 组 已 存在 ， 退 出 并 显示 错误 ( 原 用 户 组 不 会 被 改变 )。 

新 建 的 组 默认 使 用 大 于 500 并 大 于 每 个 其 他 组 的 ID 的 最 小 数值 。 如 果 要 指定 组 的 ID， 可 
以 在 命令 中 加 入 -g 参数 。 

如 运行 下 面 的 命令 : 


[root@redhat-64 ~]# groupadd-g 503 newgroup 


将 在 /etc/passwd 文件 中 产生 一 个 GID 为 503 的 用 户 组 newgroup。 
如 果 要 删除 一 个 已 有 的 用 户 组 ， 使 用 groupdel 命令 。 该 命令 的 一 般 格式 如 下 。 


groupdel groupname 
例如 ， 运 行 命令 : 
[root@redhat-64 ~]#groupdel groupl 


运行 后 将 从 系统 中 删除 组 group1。 
删除 一 个 用 户 组 时 要 注意 以 下 几 点 。 
(1) 组 中 的 文件 不 能 自行 删除 ， 也 不 能 自行 改变 文件 所 属 的 组 ; 
(2) 如 果 组 是 用 户 的 基本 组 〈 即 /etc/passwd 文件 中 显示 为 该 用 户 的 组 ) ， 则 这 个 组 无 法 
删除 ; 
(3) 如 果 组 中 有 用 户 在 系统 中 处 于 登录 状态 则 不 能 删除 该 组 ， 最 好 删除 用 户 后 再 删除 组 。 
修改 用 户 组 的 属性 使 用 groupmod 命令 ， 其 格式 如 下 。 


groupmod [- 选 项 ] groupname 


常用 选项 参数 说 明 如 下 。 

。 ”-g: 为 用 户 组 指定 新 的 组 标识 号 。 

。 -: 将 用 户 组 的 名 字 改 为 新 名 字 。 

如 果 需 要 将 一 个 用 户 加 入 一 个 组 , 可 以 通过 编辑 /etc/group 文件 , 将 用 户 名 写 到 组 名 的 后 面 
实现 。/etc/group 文件 的 每 一 行 表示 一 个 组 的 信息 ， 其 中 第 4 个 域 代表 组 内 用 户 的 列表 。 
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例如 ，userl1、user2、user3 都 属于 组 group1， 其 组 的 ID 为 509， 则 组 groupl 的 记录 信息 
如 下 。 
groupl::509:userl, user2, user3 


如 果 要 将 新 用 户 加 入 组 中 , 只 需 在 文件 编辑 器 中 编辑 /etc/group 文件 , 并 将 用 户 名 加 入 组 记 
录 的 用 户 域 列表 中 ， 用 逗号 阳 开 即 可 。 





9.3 Windows Server 2008 R2 IIS 服务 的 配置 


9.3.1 “IIS 服务 器 的 基本 概念 


IIS 即 因 特 网 信息 服务 器 (Internet Information Server)， 是 由 微软 公司 提供 的 基于 Windows 
操作 系统 运行 的 互联 网 基本 服务 ， 在 组 建 局 域 网 时 ， 可 利用 IS 来 构建 WWW 服务 器 、FTP 服 
务 器 和 SMTP 服务 器 等 。IS 服务 提供 了 一 个 功能 全 面 的 软件 包 ， 面 向 不 同 的 应 用 领域 给 出 了 
Internet/Intranet 服务 器 解决 方案 。 在 Windows Server 2008 R2 中 集成 了 IIS 7.5， 在 IS 7.0 模块 
化 的 基础 上 ， 改 进 了 管理 型 和 功能 性 ， 开 始 支持 ASPnet、 更 多 的 PowerShell 命令 行 和 集成 
WebDAV 等 。 

(1) WWW 服务 。WWW (World Wide Web) 是 图 形 最 为 丰富 的 Intemet 服务 ， 具 有 很 强 
的 链接 能 力 , 支持 协作 和 工作 流程 ， 可 以 给 世界 各 地 的 用 户 提供 商业 应 用 程序 。Web 是 Intemet 
上 主机 的 集合 ， 使 用 HTTP 协议 提供 服务 。 基 于 Web 的 信息 使 用 超 文本 标记 语言 ， 以 HTML 
格式 传送 ， 它 不 但 可 以 传送 文本 信息 ， 还 可 以 传送 图 形 、 图 像 、 动 画 、 声 音 和 视频 信息 。 这 些 
特点 使 得 WWW 成 为 遍布 世界 的 信息 交流 的 平台 。 

(2) FTP 服务 。FTP (File Transfer Protocol， 文 件 传输 协议 ) 是 在 Intemet 中 两 个 远程 计算 
机 之 间 传 送 文件 的 协议 。 该 协议 允许 用 户 使 用 FTP 命令 对 远程 计算 机 中 的 文件 系统 进行 操作 。 
通过 FTP 可 以 传送 任意 类 型 、 任 意 大 小 的 文件 .Windows Server 2008 R2 中 的 IS 7.5 内 置 了 FTP 
模块 。 


9.3.2 ”安装 IIS 服务 


不 同 的 Windows 系统 内 置 的 IIS 版 本 是 各 不 相同 的 ，Windows Server 2008 R2 为 IS 7.5， 
默认 状态 下 没有 安装 IS 服务 ， 必 须 手 动 安装 。IIS 7.5 包含 了 Web 服务 器 和 FTP 服务器， 安装 
IIS 服务 需要 加 载 以 下 模块 。 

。 ”Web 服务 器 : 提供 对 HIML 网 站 的 支持 和 ASP、ASPNET 以 及 Web 服务 器 扩展 的 可 
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选 支持 。 可 以 使 用 Web 服务 器 来 承载 内 部 或 外 部 网 站 ， 为 开发 人 员 提 供 创建 给 予 
Web 的 应 用 程序 的 环境 。 
。 ”管理 工具 : 提供 用 于 管理 TS 的 Web 服务 器 的 基础 结构 。 可 以 使 用 IS 用 户 界面 、 命 
令 行 工具 和 脚本 来 管理 Web 服务 器 和 编辑 配置 文件 。 
。 FTP 服务 器 : 支持 文件 传输 协议 ， 人 允许 建立 FTP 站 点 ， 用 于 上 传 和 下 载 文 件 。 
IIS 服务 的 安装 过 程 非常 简单 。 选 择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”一 “ 角 
色 ” 命 令 ， 在 打开 的 窗口 中 单 击 “ 添 加 角色 ”按钮 ， 启 动 Windows 添加 角色 向 导 。 在 “角色 ” 
列表 框 中 勾 选 “Web 服务 器 (IIS)” 复 选 框 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 9-26 所 示 。 
在 “角色 服务 ”列表 框 中 勾 选 “Web 服务 器 ”“ 管 理工 具 ”“FTP 服务 器 ” 复 选 框 ， 然 后 单 
击 “ 下 一 步 ” 按 钮 ， 如 图 9-27 所 示 。IIS 7.5 被 分 割 成 了 40 多 个 不 同 功能 的 模块 ， 管 理 员 可 以 
单 击 田 展开 详细 服务 列表 , 根据 需要 安装 相应 的 角色 服务 , 可 以 使 Web 网 站 的 受 攻击 面 减少 ， 














安全 性 和 性 能 大 大 提高 。 











图 9-26 安装 IIS 服务 (1) 图 9-27 ”安装 IS 服务 (2) 
单 击 “安装 ”按钮 ， 按 照 系统 提示 继续 操作 ， 直 到 完成 安装 。 


9.3.3 配置 Web 服务 器 


1. 网 站 基本 配置 


通过 “管理 工具 ”中 的 “Intemet 信息 服务 (LIS) 管理 器 ”来 管理 网 站 ， 然 后 在 弹出 的 窗 
口中 选择 “Intemet 信息 服务 (IIS) 管理 器 ”项 打开 IIS 主 界面 ， 看 到 名 为 “Default Web Site” 
的 默认 网 站 。 

1) 网 站 基本 配置 

单 击 默认 网 站 右 侧 “ 操 作 ” 窗 口中 的 “基本 设置 ? 可 以 修改 网 站 名 称 和 物理 路 径 ， 物 理 
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路 径 指 网 站 主 目录 , 主 目录 是 存放 网 站 文件 的 文件 夹 , 在 这 个 主 目录 下 还 可 以 任意 创建 子 目 录 ; 
通常 Web 服务 器 的 主 目录 都 位 于 本 地 磁盘 系统 ， 如 图 9-28 所 示 。 
2) 域名 和 人 P 绑 定 配置 


单 击 默认 网 站 右 侧 “操作 ”窗口 中 的 “ 绑 定 ” 可 以 配置 网 站 的 人 P 地 址 和 绑 定 网 站 域名 。 


单 击 “ 编 辑 ” 弹 出 “编辑 网 站 绑 定 ”窗口 ， 设 置 下 地 址 和 主机 名 ， 主 机 名 即 网 站 域名 ， 如 图 
9-29 所 示 。 
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图 9-28 配置 Web 服务 器 (1) 


图 9-29 配置 Web 服务 器 (2) 


3) 文档 配置 
双击 默认 网 站 右 侧 主 窗口 中 的 “默认 文档 ” 可 以 看 到 几 个 默认 的 主页 文件 Defaulthtm、 


Default.asp、index.htm 和 iisstart.asp 等 ， 用 户 可 以 修改 其 中 的 任何 一 个 文档 来 建立 自己 的 网 站 ， 
如 图 9-30 所 示 。 
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图 9-30 配置 Web 服务 器 (3) 
Web 站 点 的 配置 是 通过 图 形 用 户 界面 来 进行 的 ， 读 者 可 以 根据 提示 练习 配置 网 站 的 过 程 。 
2. 网 站 的 安全 性 配置 


为 了 保证 Web 网 站 和 服务 器 运行 安全 ， 可 以 为 网 站 进行 身份 验证 、 卫 地 址 和 域名 限制 的 
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设置 ， 如 果 没 有 特别 的 要 求 ， 一 般 采 用 默认 设置 。 

身份 验证 配置 : 双击 默认 网 站 右 侧 主 窗口 中 的 “身份 验证 ”， 如 图 9-31 所 示 。 

网 站 的 匿名 访问 关系 到 网 站 的 安全 问题 ， 用 户 可 以 编辑 “匿名 身份 验证 ”选项 栏 来 设置 匿 
名 访问 的 用 户 账 号 。 系 统 中 默认 的 用 户 权限 比较 低 ， 只 具有 基本 的 访问 权限 ， 比 较 适 合 匿名 
访问 。 

IP 地 址 和 域 限制 配置 :双击 默认 网 站 右 侧 主 窗口 中 的 “IP 地 址 和 域 限制 ” 可 以 对 访问 站 
点 的 计算 机 进行 限制 。 单 击 “ 操 作 ” 窗 口 的 “添加 允许 条 目 ” 或 “添加 拒绝 条 目 ”， 可 以 允许 
或 排除 某 些 计算 机 的 访问 权限 ， 如 图 9-32 所 示 。 
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图 9-31 配置 身份 验证 图 9-32 配置 亿 地 址 和 域 限制 


在 “操作 ” 栏 单 击 “ 编 辑 功能 设置 ”按钮 ， 在 打开 的 对 话 框 中 可 以 设置 未 指定 的 客户 端的 
访问 权 为 “允许 或 者 拒绝 ”。 


9.3.4 配置 FTP 服务 器 


1. 添加 FTP 站 点 














选择 “开始 ”一 “管理 工具 ”一 “Intemet 信息 服务 (IS) 管理 器 ”命令 ， 然 后 在 弹出 的 
窗口 中 右 击 “网 站 ” 选择 “添加 FTP 站 点 ” 弹出 添加 FTP 站 点 窗口 。 

(1) 设置 FTP 站 点 名 称 和 物理 路 径 。 物理 路 径 即 FTP 主 目录 , 所 谓 主 目录 是 指 映射 为 FTP 
根 目录 的 文件 夹 ，FTP 站 点 中 的 所 有 文件 将 保存 在 该 目录 中 。 用 户 可 以 把 主 目录 修改 为 计算 机 
中 的 其 他 文件 夹 ， 甚 至 可 以 是 另 一 台 计 算 机 上 的 共享 文件 夹 ， 如 图 9-33 所 示 。 

(2) 在 “人 P 地址 ”下 拉 列 表 中 设置 该 FTP 站 点 的 下 地 址 。Windows Server 2008 R2 操作 系 
统 中 允许 安装 多 块 网 卡 ， 而 且 每 块 网 卡 也 可 以 绑 定 多 个 P 地 址 ， 通 过 设置 人 P 地 址 ，FTP 客户 
端 可 以 利用 设置 的 这 个 人 P 地 址 来 访问 该 FTP 服务 器 ， 在 下 拉 列 表 中 选择 一 个 即 可 ， 端 口号 使 
用 默认 的 21 即 可 ， 如 图 9-34 所 示 。 
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图 9-33 配置 站 点 信息 图 9-34 配置 他 和 端口 


(3) FTP 身份 验证 有 匿名 和 基本 两 种 方式 ， 为 了 安全 ， 建 议 使 用 基本 方式 。“ 授 权 ” 栏 目 ， 
允许 访问 最 好 选择 指定 用 户 。 权 限 根据 需要 ， 可 以 选择 只 读 或 者 读 写 ， 在 “权限 ”栏目 勾 选 相 
应 的 复 选 框 即 可 。 单 击 “ 完 成 ”按钮 ， 就 完成 了 FTP 站 点 的 添加 ， 如 图 9-35 所 示 。 


2. IP 地 址 和 域 限制 














双击 FTP 站 点 右 侧 主 窗 口中 的 “FTP IPv4 地 址 和 域 限制 ” 可 以 对 访问 站 点 的 计算 机 进行 






































限制 。 单 击 “ 操 作 ” 窗 口 的 “添加 允许 条 目 ” 或 “添加 拒绝 条 目 ”， 可 以 允许 或 排除 某 些 计算 
机 的 访问 权限 ， 如 图 9-36 所 示 。 

@ 身份 验证 和 授权 信息 FT IPv4 地 址 和 域 恨 制 ET 
和 ES 全 
0 2 
IF 基本 D) 你 而 下 77 地 过 惑 浊 名 ， bm 

Ce 
和 入 访问 加 ) 站 
指定 用 户 了 | i 
EE i 
权限 
人 访 取 0) 
FAW 

Ce | 
上 -页 @) | 下- 太 取消 
图 9-35 配置 身份 验证 和 授权 图 9-36 配置 他 地 址 和 域 限制 


在 “操作 ” 栏 单 击 “ 编 辑 功能 设置 ”按钮 ， 在 打开 的 对 话 框 中 可 以 设置 未 指定 的 客户 端的 
访问 权 为 “允许 或 者 拒绝 ”。 
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9.4 Linux Apache 服务 器 的 配置 

Apache 的 特点 是 简单 、 速 度 快 、 性 能 稳定 。Apache 提供 了 丰富 的 功能 ， 包 括 目录 索引 、 
目录 别名 、 虚 拟 主机 、HTTP 日 志 报告 、CGI 程序 的 SetUID 执行 及 联机 手册 man 等 。 
9.4.1 _ Apache 的 安装 与 配置 


在 Webmin 的 system 页 选择 Software Packages, 在 该 页 的 Install a New Package 中 选择 From 
uploaded fle〈 从 上 传 文件 安装 )， 例 如 路 径 为 e:\RedHat\RPMS\apache， 单 击 浏览 按钮 ， 指 定 要 
安装 的 包 文件 apache-1.3.23-11.i386.rpm， 然 后 单 击 Install 按钮 即 可 。 


1，Apache 的 启动 与 停止 





在 Apache Webserver 页 进行 以 下 操作 。 

(1) 在 Apache Webserver 页 中 选择 Start Apache 来 启动 Apache 服务 器 。 

(2) Apache 服务 器 启动 后 ，Apache Webserver 页 的 上 页 标 项 有 所 变化 ， 原 Start Apache 变 
为 Apply Changes 和 Stop Apache， 在 上 页 标 中 选择 Stop Apache 来 停止 Apache 服务 器 。 

在 Bootup and Shutdown 页 进行 以 下 操作 : 

(1) 在 Bootup and Shutdown 页 的 守护 进程 列表 中 查找 httpd, 这 是 Apache 服务 器 的 守护 进 
程 名 称 ， 选 择 守护 进程 名 称 前 的 复 选 框 ， 以 选 定 此 服务 。 

(2) 守护 进程 列表 的 下 方 有 Start Selected 和 Stop Selected 两 个 按钮 ， 分 别 用 来 启动 和 停止 
选 定 的 服务 。 

(3) 如 果 在 守护 进程 列表 中 直接 选择 守护 进程 htpd， 进 入 Edit Actions 页 ， 显 示 服 务 器 守 
护 进 程 的 详细 配置 信息 ， 例 如 守护 进程 的 启动 脚本 。 


2. Apache 的 配置 界面 


在 Apache Webserver 页 中 ， 界 面 配置 的 第 一 部 分 为 Global Configuration， 包 含 若干 全 局 设 
置 项 ， 全 局 设置 项 中 的 设置 将 作用 于 整个 Apache 服务 器 。 

在 Apache Webserver 页 中 , 界面 配置 的 第 二 部 分 为 Virtual Servers， 显 示 当 前 服务 器 中 的 所 
有 虚拟 主机 ， 在 未 进行 配置 的 情况 下 包括 两 个 虚拟 主机 ， 一 个 是 Default Server 默认 主机 ， 另 一 
个 虚拟 主机 使 用 https 协议 ， 监 听 端 口 为 “443 ”， 文 档 根 目录 Document Root 与 默认 主机 相同 。 

在 Apache Webserver 页 中 ， 界 面 配置 的 第 三 部 分 为 Create a New Virtual Server， 用 于 建立 
一 个 新 的 虚拟 主机 。 








装置 
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9.4.2 ”建立 基于 域名 的 虚拟 主机 


虚拟 主机 服务 ， 是 指 在 一 台 物 理 机 器 上 提供 多 个 Web 服务 。 例 如 ， 某 公司 有 多 个 子 公 司 ， 
各 子 公司 需要 拥有 独立 的 域名 ,希望 对 外 提供 独立 的 Web 服务 , 但 是 都 要 使 用 总 公司 的 单 台 服 
务 器 , 这 个 时 候 该 服务 器 就 通过 虚拟 主机 的 方式 为 各 个 子 公司 提供 多 个 企业 的 Web 服务 。 虽 然 
所 有 的 Web 服务 都 是 这 台 服 务 器 提供 的 , 但 是 让 访问 者 看 起 来 却 是 在 不 同 的 服务 器 上 获得 Web 
服务 一 样 。 

用 Apache 设置 虚拟 主机 服务 通常 采用 两 种 方案 : 基于 人 P 地 址 的 虚拟 主机 和 基于 名 字 的 虚 
拟 主机 。 

基于 域名 的 虚拟 主机 服务 是 目前 应 用 比较 广泛 的 一 种 方案 。 它 不 需要 更 多 的 人 P 地 址 ， 而 
且 配 置 简单 ， 无 须 特殊 的 软 /硬件 支持 。 现 代 的 浏览 器 大 多 支持 这 种 虚拟 主机 的 实现 方法 。 

在 Create a New Virtual Server 对 话 框 中 配置 需要 建立 的 主机 ， 将 Address 设置 为 当前 主机 
的 某 个 下 地址 ， 如 192.168.1.112, 并 选中 Add name virtual server address 和 Listen on address 复 
选 框 ， Port 为 Default; 将 Document Root 设置 为 此 虚拟 主机 的 文档 根 目 录 ， 如 
/Var/www/page.test.com, 此 目录 是 在 配置 wu-ftpd 服务 器 时 为 虚拟 站 点 page.test.com 建立 的 ; 将 
Server Name 设置 为 此 虚拟 主机 的 域名 ， 如 page.test.com; Add virtual server to file 选取 standard 
httpd.conf file。 单 击 Create 按钮 ， 建 立 已 配置 完成 的 虚拟 服务 器 。 

刚刚 建立 的 虚拟 服务 器 虽然 已 经 保存 到 Apache 的 配置 文件 中 ， 但 并 未 生效 ， 需 要 选择 
Apache Webserver 页 的 Apply Changes， 使 已 修改 的 配置 生效 。 

需要 在 test.com 的 授权 DNS 中 注册 卫 地 址 192.168.1.112， 指 向 虚拟 主机 的 域名 
page.test.com，Name 为 page、Update 为 Yes、Time-to-Live 为 Default。 


9.4.3 ”建立 基于 IP 地 址 的 虚拟 主机 


基于 人 P 地址 的 虚拟 主机 服务 实现 需要 在 机 器 上 配置 多 个 人 P 地 址 , 每 个 人 P 对 应 一 个 虚拟 主 
机 。 这 种 方法 需要 每 个 虚拟 主机 占用 一 个 卫 地 址 资源 ， 在 当前 人 P 地 址 资源 比较 紧张 的 情况 下 
很 少 使 用 这 种 方法 。 


1. 为 网 卡 绑 定 多 个 IP 地 址 


(1) 在 Hardware 页 中 选择 Network Configuration， 在 该 页 中 选择 Network Interfaces， 在 
Network Interfaces 页 中 ，Interfaces Active Now 列表 显示 了 当前 系统 激活 网 卡 的 信息 ， 如 名 称 为 
eth0 的 网 卡 类 型 为 Ethernet; 分 配 的 下 地 址 为 192.168.1.112; 掩 码 (Netmask) 为 255.255.255.0; 
状态 (Status) 为 Up， 选 择 Add a new interface， 添 加 新 的 接口 。 

(2) 在 Create Active interface 页 中 配置 要 建立 的 网 卡 ， 将 Name 设 为 eth0:0 表示 这 并 不 是 
一 块 真正 的 网 卡 , 而 是 指向 物理 网 卡 eth0 的 一 个 虚拟 网 卡 ; 192.168.1.113 为 给 eth0 绑 定 的 另 一 
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个 中 地 址 ， 其 他 设置 为 默认 选项 。 单 击 Create 按钮 ， 建 立 已 配置 好 的 网 卡 。 
(3) 在 Network Interfaces 页 中 , Interfaces Active Now 列表 已 经 显示 了 新 建立 的 网 卡 eth0:0， 
类 型 Ethernet (Virtual) 表示 其 为 虚拟 以 太 网 卡 。 


2. 建立 基于 IP 地址 的 虚拟 主机 


(1) 在 Create a New Virtual Server 对 话 框 中 配置 要 建立 的 主机 ， 将 Address 设置 为 要 建立 
虚拟 主机 的 下 地 址 ， 如 192.168.1.113, 并 选中 Add name virtual server address、Listen on address 
复 选 框 ，Port 默认 为 80; 设置 Document Root 为 /Var/www/ip.test.com; 设置 Server Name 为 
ip.testcom; Add virtual server to file 选取 Standard httpd.conf file。 单 击 Create 按钮 ， 建 立 已 配置 
完成 的 虚拟 服务 器 。 

(2) 选择 Apache Webserver 页 的 Apply Changes， 使 已 修改 的 配置 生效 。 

(3) 需 要 在 test.com 的 授权 DNS 中 注册 于 地 址 192.168.1.113 指向 虚拟 主机 域名 ip.test.com， 
Name 为 p、Update 为 Yes、Time-to-Live 为 Default。 


9.4.4 ”Apache 中 的 访问 控制 


Web 网 站 常 有 这 样 的 需要 ， 对 网 站 某 部 分 内 容 进行 简单 的 密码 保护 ， 只 允许 授权 的 用 户 访 
问 。 例 如 ， 网 站 的 统计 分 析 结果 不 允许 普通 用 户 随意 浏览 。Apache 提供 了 基于 用 户 名 /口令 的 
认证 方式 以 满足 这 样 的 需求 。 

Apache 实现 身份 认证 的 基本 原理 是 : 当 系 统管 理 员 需 要 对 某 个 目录 设置 身份 认证 时 , 在 要 
限制 的 目录 中 添加 默认 名 .htaccess 的 配置 文件 。 当 用 户 访问 该 路 径 下 的 资源 时 ， 系 统 会 弹出 一 
个 对 话 框 ， 要 求 用 户 输入 “用 户 名 /口令 ” 用 户 输入 口令 后 ， 传 给 WWW 服务 器 。WWW 服务 
器 验证 它 的 正确 性 ， 如 果 正 确 ， 返 回 页 面 ;否则 返回 401 错误 。 需 要 说 明 的 一 点 是 ， 这 种 认证 
模式 不 能 用 于 安全 性 要 求 很 高 的 场合 。 

下 面 来 看 一 下 如 何 建立 需要 用 户 名 /口令 才能 进行 访问 的 目录 。 假 设 基本 情况 是 : 
www.domainname.com 站 点 的 文档 存放 在 /var/www/html 目录 下 ，Web 访问 日 志 分 析 存 放 在 
/warwww/usage 目录 下 ,希望 限制 /Var/www/usage/ 目 录 的 访问 ,只 允许 用 户 admin 以 口令 passkey 
访问 该 目录 。 

首先 确保 在 Apache 的 httpd.conf 中 ， 用 密码 才能 访问 的 目录 或 其 父 目录 的 Directory 容器 
的 设置 参数 中 包含 以 下 设置 。 




















AllowOverride All 


AllowOverride AuthConfig 


国 于 
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即 允许 该 目录 对 Authconfig 属性 进行 覆盖 。 
然后 使 用 htpasswd 命令 建立 用 户 文件 、 账 号 信息 文件 。 


htpasswd-c /etc/.htpasswd admin 


上 述 代码 创建 了 名 为 .htpasswd 的 用 户 账号 文件 ,并 初始 化 一 个 admin 用户。 此 程序 会 询问 
用 户 admin 的 口令 ， 两 次 输入 passkey 即 可 完成 。 

在 希望 限制 访问 的 目录 (这 里 为 /Var/www/usage/) 下 建立 .htaccess 文件 ， 用 vi 在 /var/ 
www/usage/ 目 录 下 创建 文件 .htaccess。 


AuthName Administrator Accessible Only 
上 这 个 名 字 是 任 取 的 */ 

AuthType Basic 

AuthUserFile /etc/.htpasswd 


Tequire user admim 


9.5 DNS 服务 器 的 配置 


9.5.1 DNS 服务 器 基础 
1. 名 字 和 解析 服务 


网 络 中 的 计算 机 可 以 用 由 字母 和 数字 组 成 的 名 字 来 标识 ,在 进行 网 络 通信 时 计算 机 的 名 字 
被 转换 为 中 地址 。 网络 管理 员 必 须 掌握 查看 和 改变 计算 机 名 字 的 方法 , 还 必须 了 解 名 字 与 地 址 
之 间 的 映像 机 制 。 

名 字 解 析 服务 就 是 将 计算 机 的 名 字 转 换 为 PP 地 址 的 过 程 。 在 Windows 中 使 用 两 类 名 字 : 
主机 名 和 NetBIOS 名 字 。 主 机 名 是 按照 域名 服务 规则 设 定 的 主机 标识 ， 包 括 计算 机 名 和 后 绥 
(suffix) 两 部 分 。 例 如 servertrainnig.tradermsft 是 一 个 主机 名 ， 其 中 server 是 计算 机 名 ， 其 余部 
分 是 后 级 。 所 谓 完全 合格 的 域名 (Fully Qualified Domain Name，FQDM) 是 指 在 DNS 名 称 空 
间 中 已 经 声明 的 名 称 标识 ， 表 明了 它 在 域名 树 中 的 绝对 位 置 。 通 过 FQDN 可 以 找到 全 世界 任何 
网 络 中 的 资源 。DNS 名 字 解 析 通 过 DNS 服务 器 实现 。 可 以 把 多 个 主机 名 映像 到 同一 个 人 P 地 址 ， 
也 可 以 把 一 个 主机 名 映像 到 多 个 他 地 址 。 在 后 一 种 情况 下 进行 名 字 解 析 时 ， 由 一 个 主机 名 可 以 
得 到 对 应 的 多 个 瑟 地 址 。 

NetBIOS 是 IJBM 和 Microsoft 创建 的 网 络 协议 ， 运 行 在 网 络 层 和 应 用 层 之 间 ， 实 现 名 字 注 
册 、 名 字 更 新 、 名 字 解 析 ， 以 及 建立 /终止 会 话 等 功能 。NetBIOS 是 一 种 进程 间 的 通信 机 制 ， 也 
是 一 种 应 用 编程 接口 (APID)， 它 使 得 分 布 式 应 用 软件 能 够 进行 远程 通信 ， 彼 此 访问 对 方 的 网 络 
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资源 。 

NetBIOS 的 名 字 是 NetBIOS 服务 使 用 的 网 络 标识 , 由 16 个 字符 组 成 , 前 15 字符 以 ASCII 
编码 表示 ， 最 后 一 个 字符 以 十 六 进 制 符号 表示 ， 代 表 提 供 的 服务 。NetBIOS 名 字 是 一 种 扁平 的 
名 字 , 没有 任何 层次 结构 , 因而 无 法 区 分 不 同 网 络 中 具有 相同 名 字 的 两 台 计算 机 。Windows 2000 
以 后 的 计算 机 都 使 用 DNS 域名 来 实现 大 多 数 功 能 ,但 是 如 果 网 络 中 包含 运行 较 早 版 本 Windows 
的 计算 机 ， 则 必须 使 用 NetBIOS 名 字 进 行 通信 。 

可 以 用 hostname 实用 程序 查看 主机 名 ,也 可 以 和 命令 查看 主机 名 和 DNS 后 绥 ， 
见 图 9-37。 命 令 nbtstat-n 显示 在 系统 中 注册 的 NetBIOS 名 字 , 命令 nbtstat-c 显示 NetBIOS 缓存 
中 的 内 容 ， 包 括 网 络 中 其 他 主机 的 NetBIOS 名 字 与 全 地址 的 映像 ， 参 见 图 9-38。 
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图 9-37 主机 名 和 DNS 后 级 图 9-38 NetBIOS 名字 组 存 


2. DNS 主机 名 解析 


DNS 主机 名 解析 的 查找 顺序 是 先 查 找 客户 端 解析 程序 缓存 ， 如 果 没 有 成 功 ， 则 向 DNS 服 
务 器 发 出 解析 请 求 ， 如 果 还 没有 成 功 ， 则 尝试 使 用 NetBIOS 名 字 解 析 方 法 取得 结 

客户 端 解 析 程 序 缓存 是 内 存 中 的 一 块 区 域 ,保存 着 最 近 被 解析 的 主机 名 及 其 瑟 地 址 映像 ， 
可 以 用 ipconfig/displaydns 命令 查看 其 中 的 内 容 ， 参 见 图 9-39。 由 于 解析 程序 缓存 常 驻 内 存 中 ， 
所 以 比 其 他 解析 方法 速度 快 。 解 析 程 序 缓存 把 最 近 未 能 解析 或 无 效 的 DNS 名 字 存 放 在 负 缓 存 
项 (negative cache entry) 中 ， 当 客户 端 从 DNS 服务 器 接收 到 否 否定 应 答 时 会 添加 这 些 项 目 。 负 
缓存 项 要 保存 一 段 时 间 ， 这 样 它 就 不 会 再 次 被 查询 。 通 过 刷新 和 重 置 缓存 ， 可 以 去 除 负 缓 存 项 
以 及 任何 动态 添加 的 项 目 。 清 除 解 析 程 序 缓存 的 命令 是 ipconfig /flushdns。 

文件 hosts 存储 在 %Systemroot%\System32\Dtivers\Etc 目录 下 , 其 中 包含 了 可 以 预 加 载 到 解 
析 程 序 缓存 中 的 地 址 映像 项 目 ， 参 见 图 9-40。 编 辑 hosts 文件 可 以 帮助 DNS 主机 名 解析 。 
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3， 域 名 系统 


域名 系统 (Domain Name System，DNS) 通过 层 ; 
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Tine To Live 


Data Length - - . . 


dnspod.net 
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Record Type . - 
Tine To Live 
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月 《Host》 Record 





图 9-39 





间 ， 用 来 定位 网 络 资源 。DNS 最 早 


rator>ipconf ig /dis 


: dl-google-com 


: hnsver 


: dl-1-google-com 


dnspod.net 


解析 程序 缓存 


结构 的 分 布 式 数据 库 建立 了 一 致 性 的 名 





的 技术 规范 出 现在 1983 年 的 RFC 882 和 RFC 883 文档 


中 ，1987 年 发 布 的 RFC 1034 和 RFC 1035 文档 对 其 进行 了 修订 ， 此 后 又 发 布 了 一 系列 补充 和 


扩展 的 技术 规范 。 





Copyright (c) 1993 


999 Microsoft Corp. 


This is a sanple HOSTS file used by Microsoft TCP/IP for Windows. 


This file contains the nappings of IP add 
pt on an individual line. 
irst column followed by t 





The IP 


space. 


lines or follo 





For exanple: 


102. 54 





127.0.0.1 localhost 





ng the nachine nane denoted by a 


rhino. acne. com 
Xx. acne. cam 


0 host nanes. Each 







d on individual 
synbol. 








# x client hos 


图 9-40 hosts 文件 
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由 于 保存 主机 名 的 DNS 数据 库 分 布 在 多 个 服务 器 中 ， 从 而 减少 了 任何 一 台 服 务 器 的 负载 。 
由 于 DNS 数据 库 是 分 布 式 的 , 所 以 规模 大 小 不 受 限 制 , 性 能 也 不 会 因为 服务 器 数量 的 增加 而 显 
著 下 降 。 

DNS 的 逻辑 结构 是 一 个 分 层 的 域名 树 , Intermet 网 络 信息 中 心 (Internet Network Information 
Center，InterNIC) 管理 着 域名 树 的 根 ， 称 为 根 域 。 根 域 没有 名 称 ， 用 句号 “.” 表 示 ， 这 是 域名 
空间 的 最 高 级 别 。 在 DNS 的 名 称 中 ， 有 时 在 末尾 附加 一 个 “.” 就 是 表示 根 域 ， 但 经 常 是 省 略 
的 。DNS 服务 器 可 以 自动 补 上 结尾 的 句号 ， 也 可 以 处 理 结尾 带 句号 的 域名 。 

根 域 下面 是 顶级 域 (Top-Level Domains，TLD )， 分 为 国家 顶级 域 (country code Top Level 
Domain，ccTLD) 和 通用 顶级 域 (generic Top Level Domain，gTLD)。 国 家 顶级 域名 包含 243 
个 国家 和 地 区 代码 ,例如 cn 代表 中 国 , uk 代表 英国 等 。 最 初 的 通用 顶级 域 有 7 个， 即 com ( 商 
业 公 司 )、net (网 络 服 务 )、org (组 织 协 会 )、gov〔 政 府 部 门 )、edu (教育 机 构 )、mil (军事 领 
域 ) 和 int (国际 组 织 )， 这 些 顶 级 域名 原来 主要 供 美 国 使 用 ， 随 着 Internet 的 发 展 ，com、org 
和 net 成 为 全 世界 通用 的 项 级 域名 , 就 是 所 谓 的 “国际 域名 ”, 而 edu、gov 和 mil 限于 美国 使 用 。 

负责 互联 网 域名 注册 的 服务 商 ICANN (Internet Corporation for Assigned Names and 
Numbers) 在 2000 年 11 月 决定 ， 从 2001 年 开始 使 用 新 的 国际 项 级 域名 ,共有 7 个 ， 即 biz( 商 
业 机 构 )、info〔 网 络 公司 )、name (个 人 网 站 )、pro〔 医 生 和 律师 等 职业 人 员 )、aero〔 航 空运 
输 业 专用 )、coop“〔〈 商 业 合作 社 专用 ) 和 museum 博物馆 专用 )， 其 中 前 4 个 是 非 限 制 性 域名 ， 
后 3 个 限于 专门 的 行业 使 用 ， 受 有 关 行 业 组 织 的 管理 。 

2008 年 6 月 ,ICANN 在 巴黎 年 会 上 通过 了 个 性 化 域名 方案 , 最 早 将 于 2009 年 开始 会 出 现 
以 公司 名 字 为 结尾 的 域名 ， 例 如 ibm、hp、qq 等 。 可 以 认为 ， 这 些 域 名 的 所 有 者 在 某 种 意义 上 
就 是 一 个 域名 注册 机 构 ， 以 后 将 会 有 无 数 的 国际 域名 。 

顶级 域 下 面 是 二 级 域 ， 这 是 正式 注册 给 组 织 和 个 人 的 唯一 名 称 ， 例 如 www.microsoft.com 
中 的 microsoft 就 是 微软 注册 的 域名 。 

在 二 级 域 之 下 , 组 织 机 构 还 可 以 划分 子 域 , 使 其 各 个 分 支部 门 都 获得 一 个 专用 的 名 称 标识 ， 
例如 www.sales.microsoft.com 中 的 sales 是 微软 销售 部 门 的 子 域名 称 。 划 分 子 域 的 工作 可 以 一 直 
延续 下 去 , 直到 满足 组 织 机 构 的 管理 需要 为 止 。 但 是 DNS 命名 标准 规定 , 一 个 域名 的 长 度 通常 
不 超过 63 个 字符 ， 最 多 不 能 超过 255 个 字符 。 

DNS 命名 标准 还 规定 , 域名 中 只 能 使 用 ASCII 字符 集 的 有 限 子 集 , 包括 26 个 英文 字母 (不 
区 分 大 小 写 ) 和 10 个 数字 ， 以 及 连 字 符 “-”， 并 且 连 字符 不 能 作为 子 域名 的 第 一 个 和 最 后 一 个 
字母 。 后 来 的 标准 对 字符 集 有 所 扩展 。 


4. 域名 服务 器 


所 有 的 顶级 域 被 委托 (Delegation) 给 不 同 的 根 服务 器 进行 管理 。 国 家 域名 的 根 服务 器 由 各 
个 国家 的 网 络 信息 中 心 运营 , 而 国际 域名 则 由 13 个 根 服务 器 提供 服务 , 其 中 9 个 根 服务 器 放置 
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在 美国 ， 另 外 3 个 分 别 放置 在 英国 、 瑞 典 和 日 本 。 中 国有 3 个 国际 域名 的 镜像 服务 器 ， 可 以 加 
快 中 国境 内 的 用 户 访问 .com 和 .net 中 的 资源 。 











1) 区 域 
DNS 域名 树 的 一 个 连续 部 分 被 称 为 区 域 (zone)， 图 9-41 所 示 为 划分 区 域 的 例子 ， 这 里 有 
3 个 区 域 : 








图 9-41 DNS 的 区 域 


e northnwtraders.com 

e sales.north.nwtraders.com 

e support.north.nwtraders.com 

其 中 ， 区 域 north.nwtraders.com 包含 north.nwtraders.com 和 training.north.nwtraders.com 
子 域 。 

这 里 要 区 别 两 个 不 同 的 概念 ， 通 常 说 的 “ 域 ”是 DNS 域名 树 中 的 一 个 结 点 ， 可 以 把 域名 
树 中 相 邻 的 一 些 结 点 的 配置 信息 保存 的 一 个 文件 中 ， 这 就 是 区 域 文件 。 所 以 域 是 名 字 空 间 的 一 
部 分 ， 而 “区 域 ” 是 存储 的 概念 ， 是 存储 空间 的 一 部 分 。 

2) 资源 记录 

同一 个 区 域 文件 可 以 保存 主 、 辅 两 份 副本 ， 这 样 做 的 目的 是 宛 余 容错 。 如 果 把 主 、 辅 两 个 
文件 分 别 保存 在 两 个 单独 的 服务 器 中 ， 分 别称 为 主 服务 器 和 辅助 服务 器 ， 这 样 做 还 可 以 起 到 负 
载 分 担 的 作用 。 

区 域 文件 是 由 资源 记录 (Resource Record) 组 成 的 文本 文件 ， 即 ./AppData/Local/Temp/ 
Rar$DIa0.095/ 域 名 dnshtm - top#top。 资 源 记录 分 为 许多 不 同 的 类 型 ， 常 用 以 下 几 种 〈 参 见 表 9-2)。 

(1) SOA (Start Of Authoritative): 开始 授权 记录 是 区 域 文 件 的 第 一 条 记录 ， 指 明 区 域 的 主 
服务 器 ， 指 明 区 域 管理 员 的 邮件 地 址 ， 并 给 出 区 域 复制 的 有 关 信 息 。 

















. 序列 号 : 


。 ”刷新 间隔 : 辅助 服务 器 更 新 数据 的 时 间 间 
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当 区 域 文件 改变 时 ， 序 列 号 要 增加 ， 辅 助 服务 器 把 自己 的 序列 号 与 主 服务 器 
的 序列 号 比较 ， 以 确定 是 否 需 要 更 新 数据 。 





隔 ( 秒 )。 


。 ” 重 试 间隔 : 当 辅 助 服务 器 不 能 连接 主 服 务 器 进行 更 新 时 ， 必 须 每 隔 一 定 的 时 间 间 隔 


( 秒 ) 重新 试图 连接 。 
。 ”有 效 期 : 如 果 辅 助 服务 器 不 能 更 新 自己 的 





查询 服务 。 


。 ”生命 期 (TTL): 资源 记录 在 其 他 名 字 服 务 器 缓存 中 


区 域 文件 ， 超 过 有 效 期 ( 秒 ) 后 就 不 再 提供 





保存 的 最 少 有 效 时 间 〈 秒 )。 


(2) A (Address): 地 址 记录 表示 主机 名 到 下 地 址 的 映像 。 
(3) PTR (Pointer): 指针 记录 是 也 地 址 到 主机 名 的 映射 。 
(4) NS (Name Server): 给 出 区 域 的 授权 服务 器 。 
(5) MX (Mail eXchanger): 定义 了 区 域 的 邮件 服务 器 及 其 优先 级 〈 搜 索 顺 序 )。 


(6) CNAME: 为 正式 主机 名 (canonical name) 定义 了 








-个 别名 (alias )。 








表 9-2 资源 记录 
记录 类 型 说 了 明 示 例 
指明 区 域 主 服 务 器 (primary nameserver) 区 域 microsoft.com 的 主 服务 器 为 
指明 区 域 管理 员 的 邮件 地 址 及 区 域 复制 信息 : | nsl.microsoft com 
四 序列 号 2003080800 ;serial number 
ee 刷新 间隔 172800 ;refresh=2d 
重 试 间隔 900 :retry=15m 
有 效 期 1209600 ;expire=2w 
TIL 3600 :default TTL=1h 
地 址 CA) 最 常用 的 资源 记录 computerl .microsoftcom 被 解析 为 
国 把 主机 名 解析 为 P 地 址 10.1.1.4 
指针 (PTR) 用 于 反 向 查询 的 资源 记录 10.1.1.4 被 解析 为 
把 他 地 址 解析 为 主机 名 computerl .microsoft.com 
名 字 服 务 器 为 一 个 域 指定 了 授权 服务 器 域 microsoft.com 的 授权 服务 器 为 
(NS) 该 域 的 所 有 子 域 也 被 委派 给 这 个 服务 器 ns2.microsoft.com 
邮件 服务 器 ee 区 域 microsofteom 的 邮件 服务 器 为 
(MX) mail.microsoft.com 
别名 (CNAME) 指定 主机 的 别名 www.microsoft.com 的 别名 为 








把 主机 名 解析 为 另 一 个 主机 名 





3) 区 域 的 类 型 
在 Windows Server 2008 R2 中 ， 区 域 分 为 以 下 3 种 类 型 。 





webserverl2.microsoft.com 


国 41s 若 。 网 络 工 程 师 教程 (第 5 版) 


(1) 主 区 域 : 在 名 字 服 务 器 中 ， 区 域 信息 被 存储 在 一 个 可 写 入 的 文本 文件 中 。 

(2) 辅助 区 域 : 在 名 字 服 务 器 中 ， 区 域 信息 被 存储 在 一 个 只 读 的 文本 文件 中 。 

(3) 存根 区 域 : 只 包含 3 种 记录 〔 称 粘连 记录 )。 

。 ”关于 一 个 区 域 的 SOA 记录 。 

。 ”该 区 域 所 有 授权 服务 器 的 A 记录 。 

。 ”该 区 域 所 有 授权 服务 器 的 NS 记录 。 

在 RFC 1034 和 RFC 1035 提出 的 实现 方案 中 ， 只 有 主 区 域 和 辅助 区 域 ，Windows NT 称 其 
为 标准 区 域 (Standard Zone)。 一 种 典型 的 情况 是 ， 假 设 某 公 司 部 署 了 一 个 Windows NT 域 ， 在 
网 络 中 建立 了 两 个 名 字 服 务 器 ， 一 个 包含 主 区 域 ， 称 为 主 服务 器 (Primary Server)， 另 一 个 包 
含 辅助 区 域 ， 称 为 辅助 服务 器 (Secondary Server)。 当 一 个 新 的 主机 加 入 网 络 时 ， 名 字 服 务 器 
必须 更 新 它们 的 区 域 信息 , 使 得 用 户 可 以 通过 DNS 访问 新 的 主机 。 这 时 网 络 管理 员 在 主 服务 器 
中 生成 一 个 新 的 A 记录 ， 随 之 启动 区 域 传输 ， 使 得 辅助 服务 器 从 主 服务 器 中 复制 数据 ， 直 到 辅 
助 服务 器 与 主 服务 器 的 区 域 信息 完全 一 致 。 在 进行 区 域 传输 时 ， 主 服务 器 代表 该 区 域 的 宿主 服 
务 器 (Master)， 而 辅助 服务 器 是 从 属 服务 器 (Slaver)。 

这 种 配置 的 主要 问题 是 ， 如 果 主 服务 器 出 了 故障 ， 则 资源 记录 就 无 法 修改 了 。 同 时 ， 由 于 
所 有 网 络 资源 配置 的 变化 都 必须 通过 唯一 的 主 服务 器 进行 修改 ， 如 果 公司 网 络 分 布 在 几 个 不 同 
的 地 理 位 置 ， 这 样 做 很 不 方便 。 

从 Windows 2000 开始 引入 了 活动 目录 (Active Directory)， 有 关 区 域 的 资源 记录 可 以 存储 
在 活动 目录 中 , 而 不 是 文本 文件 中 。 这 样 做 的 优点 是 , 可 以 利用 活动 目录 复制 来 传递 区 域 信息 ， 
并 且 人 允许 在 运行 DNS 的 任何 域 控制 器 中 添加 或 修改 资源 记录 。 换 而 言 之 , 所 有 与 活动 目录 集成 
的 域 都 是 主 区 域 ， 都 包含 了 一 个 可 写 入 的 区 域 数据 库 副 本 。 

使 用 活动 目录 集成 的 区 域 也 会 出 现 一 些 问 题 。 假 设 A 公司 有 一 部 分 业务 与 BB 公司 联 系 密切 ， 
为 了 使 A 公司 的 用 户 能 够 访问 B 公司 的 内 部 资源 ， 通 常 的 做 法 是 ， 由 A 公司 的 管理 员 在 该 公 
司 的 每 个 名 字 服 务 器 中 添加 一 个 辅助 区 域 ， 这 些 辅助 区 域 都 把 B 公司 的 名 字 服 务 器 当 作 宿 主 服 
务 器 ， 通 过 区 域 传输 获取 B 公司 的 区 域 信息 。 

这 样 做 会 在 两 个 公司 之 间 产 生 大 量 的 区 域 传输 通信 量 ， 如 果 两 个 公司 通过 慢 速 的 广域网 
(WAN) 连接 ， 则 通信 性 能 会 受到 很 大 影响 。 另 外 可 能 出 现 的 问题 是 ， 如 果 B 公司 关闭 了 它 的 
一 个 名 字 服 务 器 而 没有 通知 对 方 , 那么 在 A 公司 名 字 服 务 器 上 运行 的 辅助 区 域 就 会 失去 宿主 服 
务 器 ， 一 旦 它们 的 资源 记录 过 期 ，A 公司 的 客户 就 不 能 访问 B 公司 的 资源 了 。 

引入 存根 区 域 是 以 上 方法 的 补充 。 存 根 区 域 就 像 辅 助 区 域 一 样 ， 从 其 他 的 名 字 服 务 器 复制 
资源 信息 。 存 根 区 域 也 是 只 读 的 ,所 以 管理 员 不 能 人 工地 添加 、 删 除 或 者 修改 其 中 的 资源 记录 。 
但 是 存根 区 域 与 辅助 区 域 有 两 个 重要 的 差别 。 首 先是 存根 区 域 只 从 宿主 服务 器 中 获取 3 种 资源 
记录 ， 无 论 公司 的 网 络 多 么 庞大 ， 存 根 区 域 的 信息 量 都 是 很 小 的 ， 由 存根 区 域 传输 引起 的 通信 
量 也 是 很 小 的 。 其 次 是 存根 区 域 复制 不 像 传统 的 DNS 区 域 传输 那样 使 用 UDP 协议， 而 是 使 用 
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TCP 协议 传输 比较 大 的 (超过 512 字 节 ) 数据 包 。 如 果 典 型 的 DNS 区 域 复制 要 传输 大 量 UDP 
数据 包 ， 那 么 存根 区 域 复制 只 需 传输 少量 的 数据 包 。 尤 其 重要 的 是 ， 存 根 区 域 可 以 与 活动 目录 
集成 到 一 起 ， 利 用 活动 目录 复制 来 传递 资源 记录 ， 而 通过 活动 目录 复制 实现 辅助 区 域 传输 在 有 
些 情况 下 是 很 难 实现 的 。 

在 前 述 例子 中 ， 可 以 利用 存根 区 域 来 减少 区 域 传输 引起 的 WAN 通信 量 。A 公司 的 网 络 管 
理 员 可 以 登录 到 本 公司 的 一 个 域 控制 器 上 ， 打 开 DNS 控制 台 ， 生 成 一 个 新 的 存根 区 域 ， 把 B 
公司 的 一 个 或 多 个 名 字 服 务 器 设置 成 宿主 服务 器 。 由 于 这 个 存根 区 域 是 与 活动 目录 集成 的 ， 所 
以 存根 区 域 就 会 自动 地 复制 到 A 公司 的 所 有 域 控制 器 中 。 当 A 公司 的 用 户 想 访问 B 公司 的 内 
部 资源 时 ， 用 户 发 出 的 DNS 查询 就 会 被 转发 到 B 公司 的 名 字 服 务 器 中 进行 解析 。 

4) 域名 查询 

DNS 服务 器 可 以 实现 正 、 反 两 个 方向 的 查询 ， 正 向 查询 是 检查 地 址 记录 (A)， 把 名 字 解 
析 为 下 地 址 ， 反 向 查询 是 检查 指针 记录 (PTR)， 把 中 地 址 解析 为 主机 名 。 

在 每 个 DNS 服务 器 中 都 有 一 个 高 速 缓存 区 (cache)， 每 次 查询 出 来 的 主机 名 及 对 应 的 中 
地 址 都 会 记录 到 高 速 缓 在 区 中 。 在 下 一 次 查询 时 ， 服 务 器 先 查 找 高 速 缓存 ， 以 加 速 查询 速度 。 
如 果 高 速 缓存 查询 不 成 功 ， 再 向 其 他 服务 器 发 送 查 询 请 求 。 

DNS 客户 端 都 配置 了 一 个 或 多 个 DNS 服务 器 的 地 址 ， 无 论 是 静态 还 是 动态 配置 的 ， 这 些 
DNS 服务 器 都 是 用 户 所 在 域 的 授权 服务 器 ， 而 用 户主 机 则 是 该 域 的 成 员 。 当 用 户 在 浏览 器 地 址 
栏 中 输入 一 个 域名 时 , 客户 端 就 可 以 向 本 地 的 DNS 服务 器 发 出 查询 请 求 。 查询 过 程 分 为 下 面 两 
种 查询 方式 。 

(1) 递归 查询 : 当 用 户 发 出 查询 请 求 时 ， 本 地 服务 器 要 进行 递归 查询 。 这 种 查询 方式 要 求 
服务 器 彻底 地 进行 名 字 解 析 ， 并 返回 最 后 的 结果 一 一 IP 地 址 或 错误 信息 。 如 果 查 询 请 求 在 本 地 
服务 器 中 不 能 完成 ， 那 么 服务 器 就 根据 它 的 配置 向 域名 树 中 的 上 级 服务 器 进行 查询 ， 在 最 坏 的 
情况 下 可 能 要 查询 到 根 服务 器 。 每 次 查询 返回 的 结果 如 果 是 其 他 名 字 服 务 器 的 瑟 地 址 , 则 本 地 
服务 器 要 把 查询 请 求 发 送 给 这 些 服务 器 做 进一步 的 查询 。 

(2) 迭代 查询 : 服务 器 与 服务 器 之 间 的 查询 采用 迭代 的 方式 进行 ， 发 出 查询 请 求 的 服务 器 
得 到 的 响应 可 能 不 是 目标 的 下 地 址 ， 而 是 其 他 服务 器 的 引用 (名字 和 地 址 )， 那 么 本 地 服务 器 
就 要 访问 被 引用 的 服务 器 ,做 进一步 的 查询 。 如 此 反复 多 次 , 每 次 都 更 接近 目标 的 授权 服务 器 ， 
直至 得 到 最 后 的 结果 一 一 目标 的 他 地 址 或 错误 信息 。 

5) 转发 服务 器 

DNS 服务 器 收 到 查询 请 求 后 ， 首 先 在 自己 的 区 域 文件 中 查找 ， 再 在 高 速 缓存 中 查找 。 如 果 
查 不 到 ， 可 能 是 因为 该 服务 器 不 是 请 求 域 的 授权 服务 器 ， 并 且 以 前 查询 的 缓存 中 没有 需要 的 记 
录 ， 这 时 DNS 服务 器 必须 向 其 他 服务 器 发 送 请 求 。 在 Intermet 中 ， 对 本 地 网 之 外 的 DNS 查询 
要 通过 广域网 (WAN) 进行 通信 ， 与 远程 服务 器 协同 工作 。DNS 转发 器 由 特定 的 名 字 服 务 器 
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担任 ， 它 的 作用 就 是 负责 处 理 基 于 WAN 的 DNS 通信 。 

9-42 给 出 了 转发 器 的 工作 过 程 。 首 先是 客户 机 向 本 地 服务 器 进行 递归 查询 , 若 本 地 服务 
器 查找 不 到 需要 的 记录 ， 则 向 转发 器 发 出 递归 查询 请 求 。 转 发 器 通过 办 代 查询 得 到 需要 的 结果 
后 ， 转 发 给 本 地 DNS 服务 器 ， 并 返回 客户 机 。 图 中 提 到 的 根 提示 (roothint) 是 存储 在 DNS 服 
务 器 中 的 一 种 资源 记录 ， 指 出 了 DNS 根 服务 器 的 名 字 和 地 址 。 根 提示 用 于 解析 Intermet 上 的 外 
部 主机 名 。 





nwtraders.com 


本 地 DNS 服 务 器 


本 地 计算 机 
图 9-42 转发 器 工作 过 程 


6) 区 域 传输 

把 一 个 区 域 的 名 字 服 务 器 分 为 主 服务 器 和 辅助 服务 器 ， 可 以 实现 元 余 容 错 的 功能 。 主 、 辅 
两 个 服务 器 都 是 该 区 域 的 授权 服务 器 , 都 提供 域名 查询 服务 , 这 样 还 可 以 实现 负载 分 担 的 功能 。 
主 、 辅 两 个 服务 器 必须 进行 区 域 传输 和 复制 ， 以 随时 保持 区 域 信息 的 一 致 。 

如 果 网 络 中 添加 了 一 个 新 的 辅助 服务 器 ， 那 么 它 要 从 主 服 务 器 中 复制 全 部 资源 记录 。 对 于 
网 络 中 己 有 的 辅助 服务 器 ， 只 是 在 主 服务 器 的 区 域 信息 改变 时 才 复制 部 分 资源 记录 。 前 者 叫 作 
完全 复制 , 使 用 AXFR (All zone transfer) 协议 , 后 者 叫 作 渐 增 复制 , 使 用 IXFR (Incremental zone 
transfer) 协议 。AXFR 和 IXFR 都 是 BIND 中 的 协议 (RFC 1995)， 用 于 区 域 复 制 。 资 源 记录 
SOA 中 的 序列 号 可 以 指示 主 、 辅 服务 器 中 的 区 域 信息 是 否 一 致 。 

9-43 是 一 个 区 域 传输 的 例子 。 区 域 传输 过 程 总 是 从 辅助 服务 器 开始 的 ， 当 主 服务 器 收 到 
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辅助 服务 器 的 询问 时 ， 要 根据 资源 记录 改变 的 历史 做 出 响应 ， 以 确定 是 否 进行 完全 复制 或 渐 增 
复制 。 


辅助 服务 器 主 服务 器 


本 区 域 的 SOA 询 问 





SOA 应 答 (本 区 域 状态 ) 


本 区 域 的 [IXFR 或 AXFR 请 求 


IXFR 或 AXFR 响 应 (区 域 传输 ) 





图 9-43 区域 传输 


具体 的 传输 过 程 如 下 。 

(1) 新 配置 的 辅助 服务 器 向 主 服 务 器 发 送 AXFR 请 求 。 

(2) 主 服务 器 以 完全 复制 响应 之 。 于 是 , 区 域 资源 信息 被 传输 给 辅助 服务 器 , 其 中 包括 SOA 
记录 中 的 序列 号 和 刷新 时 间 (通常 设置 为 900 秒 ， 即 15 分 钟 )。 

(3) 当 刷 新 时 间 间 隔 超 过 时 ， 辅 助 服务 器 向 主 服 务 器 发 出 SOA 询问 。 

(4) 主 服务 器 返回 的 应 答 中 包含 了 它 的 序列 号 。 

(5) 辅助 服务 器 把 得 到 的 序列 号 与 自己 的 序列 号 比较 ， 如 果 两 者 相同 ， 则 不 需要 进行 区 域 
复制 ， 但 是 要 根据 应 答 中 得 到 的 刷新 时 间 重 置 自己 的 刷新 时 间 。 

(6) 如 果 从 主 服务 器 得 到 的 序列 号 大 于 自己 的 序列 号 ， 则 决定 要 更 新 区 域 信 息 。 辅 助 服务 
器 发 送 IXFR 请 求 ， 其 中 包含 本 地 的 序列 号 。 

(7) 如 果 主 服务 器 支持 渐 增 复制 ， 并 且 保存 着 最 近 更 新 资源 记录 的 历史 信息 ， 则 以 IXFR 
响应 ， 并 启动 区 域 传 输 过 程 ; 如 果 主 服务 器 不 支持 渐 增 复制 ， 则 以 AXFR 响应 ， 并 启动 区 域 传 

7) DNS 通知 

基于 Windows 的 DNS 服务 器 支持 DNS 通知 。RFC 1996 文档 给 出 了 主 服务 器 向 辅助 服务 
器 发 送 通 知 的 技术 规范 。DNS 通知 是 一 种 “推进 ”机 制 , 使 得 辅助 服务 器 能 及 时 更 新 区 域 信息 。 
DNS 通知 也 是 一 种 安全 机 制 ， 只 有 被 通知 的 辅助 服务 器 才能 进行 区 域 复制 ， 这 样 可 以 防止 没有 
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授权 的 服务 器 进行 非法 的 区 域 复制 。 按 照 RFC 1996 技术 规范 ， 被 通知 的 服务 器 的 卫 地 址 必须 
出 现在 主 服务 器 的 通知 列表 中 ， 在 DNS 控制 台 ， 可 以 通过 “通知 对 话 框 ”添加 被 通知 的 目标 
服务 器 。 图 9-44 给 出 了 DNS 通知 的 操作 过 程 。 











外 资源 记录 更 新 
加 SOA 序 列 号 更 新 





图 9-44 DNS 通知 


首先 是 主 服 务 器 的 资源 记录 被 更 新 ， 这 时 SOA 记录 中 的 序列 号 增加 ， 表 示 这 是 区 域 信息 
的 一 个 新 版 本 。 然 后 主 服务 器 向 通知 列表 中 的 服务 器 发 送 DNS 通知 ， 收 到 通知 的 DNS 服务 器 
就 可 以 启动 区 域 传输 来 复制 资源 记录 了 。 注意 , 存根 区 域 不 能 配置 在 通知 列表 中 。 默 认 情 况 下 ， 
区 域 传输 的 目标 都 是 在 NS 记录 中 列 出 的 授权 服务 器 。 
9.5.2 ”Windows Server 2008 R2 DNS 服务 器 的 安装 与 配置 


1. DNS 服务 器 的 安装 


默认 情况 下 ，Windows Server 2008 R2 系统 中 没有 安装 DNS 服务 器 ， 因 此 需要 用 户 手动 
安装 ， 安 装 过 程 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”命令 ， 在 打开 的 窗口 中 
单 击 “ 添 加 角色 ”按钮 ， 启 动 Windows 添加 角色 向 导 。 

(2) 在 “服务 器 角色 ”列表 框 中 色 选 “DNS 服务 器 ” 复 选 框 ， 并 单 击 “ 下 一 步 ” 按 钮 。 安 
装 向 导 提示 ， 执 行 至 确认 界面 ， 单 击 “安装 ”完成 DNS 服务 器 的 安装 。 


2. 创建 DNS 解析 区 域 


DNS 服务 器 安装 完成 以 后 ， 在 “服务 器 管理 器 ”界面 ， 双 击 “ 和 角色” 一 “DNS 服务 器 ”， 
依次 展开 DNS 服务 器 功能 菜单 ， 右 击 “ 正 向 查找 区 域 ” 选择“ 新 建 区 域 (Z)”， 弹 出 “新 建 
区 域 向 导 ” 对 话 框 。 用 户 可 以 在 该 向 导 的 指引 下 创建 区 域 。 下 面 以 创建 正 向 查找 区 域 为 例 进行 
说 明 。 

(1) 在 “新 建 区 域 向 导 ” 的 欢迎 页 面 中 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “区 域 类 型 ”选择 页 面 。 
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默认 情况 下 “主要 区 域 ” 单 选 按钮 处 于 选中 状态 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-45 所 示 。 

(2) 在 “区 域名 称 ” 编 辑 框 中 输入 一 个 能 反映 区 域 信 息 的 名 称 〈 如 testcom)， 单 击 “ 下 
一 步 ”按钮 。 

(3) 区 域 数据 文件 名 称 通常 为 区 域名 称 后 添加 “.dns” 作 为 后 绥 来 表示 。 若 用 户 的 区 域名 
称 为 testcom， 则 默认 的 区 域 数据 库 文件 名 即 为 test.com.dns， 如 图 9-46 所 示 。 




















区 域 类 型 加 区 二 文件 一 
DRS 服务 器 支持 不 同类 型 的 区 域 和 存储 。 您 可 以 创建 一 个 休 区 域 文件 和 使 用 从 另 一 个 DNS 服务 器 复制 的 文件 。 
选择 您 要 创建 的 区 域 的 类 型- et 还 是 使 用 一 个 从 另 一 个 DNS 服务 器 复制 的 现存 
人 主要 区 域 中 ) 
人 再 一 个 可 以 直接 在 这 个 服务 器 上 更 新 的 区 域 副本 。 再 新 文件 文件 名 为 吕 ): 
Ce fre i 
* 此 选项 帮助 主 服务 器 平 ; 
HET 再 玉 使 用 此 现存 文件 四 
个 存根 区 域 0 
RT 
Ly i 了 
ER 
| 可 人 Directory 中 存 闪 区 域 吧 有 | DNS 项 务 器 是 可 写 域 往 制 乱 时 才 可 用 】 
< 上- 步 @) 到 消 《< 上 - 步 @) 职 消 











图 9-45 ”选择 创建 区 域 类 型 图 9-46 创建 区 域 


(4) 按照 向 导 提 示 ， 完 成 正 向 查找 区 域 的 创建 。 
3. 创建 域名 


向 导 成 功 创建 了 testcom 区 域 ， 接 着 还 需要 在 其 基础 上 创建 指向 不 同 主机 的 域名 才能 提供 
域名 解析 服务 。 具 体操 作 步 骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 DNS 命令 ， 打 开 DNS 管理 器 窗口 。 

(2) 在 左 窗 格 中 依次 展开 ServerName 一 “ 正 向 查找 区 域 ” 目 录 ， 然 后 右 击 test.com 区 域 ， 
选择 快捷 菜单 中 的 “新 建 主机 ”命令 ， 如 图 9-47 所 示 。 

(3) 打开 “新 建 主 机 ”对 话 框 ， 如 图 9-48 所 示 ， 在 “名 称 ” 编 辑 框 中 输入 一 个 能 代表 该 
主机 所 提供 服务 的 名 称 ， 在 “JP 地 址 ”编辑 框 中 输入 该 主机 的 人 地址， 再 单 击 “ 添 加 主机 ” 
按钮 。 很 快 就 会 提示 已 经 成 功 创建 了 主机 记录 。 

此 外 ， 用 户 还 可 以 配置 别名 (CNAME) 以 及 邮件 记录 (MX) 等 资源 记录 。 


4. 设置 DNS 客户 端 


用 户 必须 手动 设置 DNS 服务 器 的 卫 地 址 才 行 。 在 客户 端 “Intemet 协议 (TCP/IP) 属性 ” 
对 话 框 的 “首选 DNS 服务 器 ”文本 框 中 设置 DNS 服务 器 的 卫 地 址 ， 例 如 10.0.252.20， 如 图 
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9-49 所 示 。 
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图 9-47 选择 “新 建 主机 ”命令 图 9-48 创建 主机 记录 





人 自 动 获得 DNS 服务 器 地址 四) 

三 使 用 下 面 的 DNS 服务 器 地 址 人 E): 一 一 一 一 一 一 一 一 
首选 DRS 服务 器 中 ); 10 .0 .252 .199 

备用 DNS 服务 器 (A); 


厂 退出 时 验证 设置 4) 


















[CC 驼 ] mw | 


图 9-49 设置 客户 端 DNS 服务 器 地 址 


9.5.3 Linux BIND DNS 服务 器 的 安装 


BIND (Berkeley Intemet Name Domain) 是 在 UNIX/Linux 系统 上 实现 的 域名 解析 服务 软件 
包 ， 在 Red Hat Linux 上 使 用 BIND 建立 DNS 服务 器 。 

BIND 最 常见 的 两 种 用 途 之 一 是 使 用 ISP 类 型 的 设置 ，DNS 服务 器 接受 并 解析 来 自任 何人 
《或 者 一 组 预先 定义 的 用 户 ) 的 请 求 ; 另 一 种 是 Web 主机 方式 ， 服 务 器 只 解析 对 服务 域名 的 
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请 求 。 
安装 bind 软件 包 , 可 通过 “本 地 文件 “上 传 文件 ”和 网 络 站 点 (ftp、http 和 Redhat Network) 
等 多 种 方法 ， 双 击 \RedHat\RPMS\bind-9.2.0-8.1386.pm 文件 进入 安装 。 


1. 配置 DNS 解析 器 


在 Linux 主机 上 使 用 Webmin 管理 工具 配置 DNS 客户 端 ， 通 过 浏览 器 登录 Linux 主机 的 
Webmin 界面 ， 在 “硬件 ”页 中 选择 “网 络 配置 ”项 ， 在 “网 络 配置 ”页 中 选择 “DNS 客户 ” 
项 。 在 “DNS 服务 器 ”项 中 输入 要 使 用 的 DNS 域名 服务 器 的 卫 地 址 ， 例 如 192.168.1.114， 最 
多 可 以 输入 3 个 DNS 的 下 地址 ，DNS 查询 时 将 按 先 后 顺序 分 别 查询 。 设 置 解析 顺序 为 DNS、 
Hosts， 表 示 先 查询 DNS 服务 器 再 查询 本 地 Hosts 文件 。 


2. 高 速 缓存 服务 器 的 配置 


通过 浏览 器 登录 Linux 主机 的 Webmin 界面 ， 选 择 “ 服 务 ” 页 ， 然 后 选择 “BIND 8 DNS 
服务 器 ” BIND DNS 服务 器 的 所 有 配置 都 在 “BIND DNS 服务 器 ”。 

BIND 默认 安装 已 存在 Root 区 、127.0.0 和 localhost 区 ， 在 “ 现 有 DNS 区 域 ”部 分 可 看 到 
这 3 项 。 

BIND 默认 情况 下 可 直接 作为 高 速 缓存 服务 器 ,只 需 单 击 “ 启动 名 字 服 务 器 ”按钮 启动 BIND 
服务 器 即 可 。 


3， 主 服务 器 的 配置 


正 向 主 服务 器 的 区 域 类 型 为 “ 正 向 ” 即 名 称 至 地 址 的 正 向 解析 。 反 向 主 服务 器 的 区 域 类 
型 为 “ 反 向 ” 即 地 址 至 名 称 的 反 向 解析 。 

新 建 正 向 主 服务 器 ， 在 “新 建 主 区 域 ” 页 中 ,“ 区 域 类 型 ”的 默认 选项 为 “ 正 向 《名 称 至 
地 址 )”， 在 “域名 /网 络 ” 项 输入 要 新 建 的 主 区 域 域名 。 新 建 反 向 主 服务 器 ， 在 “新 建 主 区 域 ” 
页 中 ,“ 区 域 类 型 ”的 默认 选项 为 “ 反 向 (地 址 至 名 称 )”， 在 “域名 /网 络 ” 项 输入 要 反 向 解析 
的 网 络 地 址 。 

在 正 向 主 服务 器 中 增加 地 址 记录 、 名 称 别名 记录 、 邮 件 交换 记录 和 slave 名 称 服务 器 记录 。 

查看 主 服务 器 的 正 向 、 反 向 区 域 ， 并 使 设置 生效 。 


4. 从 服务 器 的 配置 











建立 次 服务 器 的 正 向 解析 ， 在 “新 建 次 区 域 ” 页 中 进行 配置 ,“ 区 域 类 型 ”默认 为 “ 正 向 
解析 ”， 在“ 域名/ 网络” 输入 要 作为 哪个 域 的 从 服务 器 。 
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核实 “编辑 次 区 域 ” 页 的 “区 域 选 项 ”,“ 主 服务 器 ”TP 地 址 为 192.168.1.114， 是 在 “新 建 
次 区 域 ”页 中 输入 的 ,“ 记 录 文件 ”为 自动 生成 的 全 路 径 记录 文件 名 /var/named/test.com.hosts， 
文件 名 根据 当前 域名 生成 ， 其 他 项 为 默认 值 ， 单 击 “ 保 存 ” 按 钮 保存 当前 设置 。 

建立 次 服务 器 反 向 解析 ， 在 “新 建 次 区 域 ”页 中 将 “区 域 类 型 ” 设 为 “ 反 向 解析 ”， “域名 
/网 络 ” 为 域名 的 网 络 地 址 192.168.1。 

选择 区 域 可 以 对 该 区 域 的 属性 进行 编辑 ， 修 改 后 保存 ， 也 可 以 把 次 区 转换 成 主 区 ， 单 击 
Convert to master zone 按钮 即 可 实现 。 


5. DNS 的 测试 











以 超级 用 户 权 限 登 录 ， 使 用 nslookup 命令 对 BIND DNS 服务 器 进行 测试 。 





#nslookup 

>master.test.com 翌 测 试 正 向 解析 地 址 记录 ， 查 询 主机 master.test.com 的 卫 地址 */ 
Server: 192.168.1.114 

Address: 192.168.1.114#53 

Name: master.test.com 

Address: 192.168.1.114 


>192.168.1.113 人 # 测 试 反 向 解析 地 址 记录 ， 查 询 下 地 址 为 192.168.1.113 的 主机 名 称 */ 


Server: 
Address: 


192.168.1.114 
192.168.1.114#53 


113.1.168.192.in-addr.arpa name=slave.test.com 





>dns.test.com 人 # 测 试 “ 名 称 别名 ”记录 ， 查 询 主机 dns.test.com 的 别名 */ 
Server: 192.168.1.114 

Address: 192.168.1.114#53 

dns.test.com canonical name=master.testcom 

Name: master.test.com 

Address: 192.168.1.114 

>set type = ns 放 测 试 type 为 NS (Name Server 名 称 服务 器 ) 记录 所 
>test.com 


Server: 


192.168.1.114 
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Address: 192.168.1.114#53 

test.com: nameserver = slave.test.com 

test.com: nameserver = master.test.com 

>set type = mx 话 测 试 类 型 为 MX (Mail eXchanger 邮件 服务 器 ) 记录 #/ 
>test.com 

Server: 192.168.1.114 

Address: 192.168.1.114#53 

test.com: mail exchanger = 10 mail.test.com 


9.6 DHCP 服务 器 的 配置 


9.6.1 DHCP 服务 器 基础 


在 常见 的 小 型 网 络 中 , IP 地 址 的 分 配 一 般 都 采用 静态 方式 , 但 是 在 大 中 型 网 络 中 ， 为 每 一 
台 计 算 机 分 配 一 个 静态 下 地 址 ， 这 样 将 会 加 重 网 管 人 员 的 负担 ， 并 且 容易 导致 P 地 址 分 配 错 
误 。 因 此 ， 在 大 中 型 网 络 中 使 用 DHCP (Dynamic Host Configuration Protocol， 动 态 主 机 配置 协 
议 ) 服务 是 非常 有 效率 的 。DHCP 服务 具有 以 下 好 处 。 

(1) 管理 员 可 以 迅速 地 验证 他 地 址 和 其 他 配置 参数 ， 而 不 用 去 检查 每 个 主机 。 

(2) DHCP 不 会 从 一 个 范围 里 同时 租借 相同 的 人 地 址 给 两 台 主机 ， 避 免 了 手工 操作 的 
重复 。 

(3) 可 以 为 每 个 DHCP 范围 (或 者 说 所 有 的 范围 ) 设置 若干 选项 (例如 可 以 为 每 台 计 算 机 
设置 默认 网 关 、DNS 和 WINS 服务 器 的 地 址 )。 

(4) 如 果 主 机 物理 上 被 移动 到 了 不 同 的 子 网 上 , 该 子 网 上 的 DHCP 服务 器 将 会 自动 用 适当 
的 TCP/IP 配置 信息 重新 配置 该 主机 。 

(5) 大 大 方便 了 便携 机 用 户 ， 当 移动 到 不 同 的 子 网 时 不 再 需要 为 使 携 机 分 配 下 地 址 。 

DHCP 服务 的 工作 过 程 如 下 。 

(1) 当 DHCP 客户 端 首次 启动 时 ， 客 户 端 向 DHCP 服务 器 发 送 一 个 Dhcpdiscover 数据 包 ， 
该 数据 包 表 达 了 客户 端的 中 租用 请 求 。 

(2) 当 DHCP 服务 器 接收 到 Dhcpdiscover 数据 包 后 , 该 服务 器 从 地 址 范围 中 向 那 台 主 机 提 
供 (dhcpoffer) 一 个 还 没有 被 分 配 的 有 效 的 他 地址 。 当 你 的 网 络 中 包含 不 止 一 个 DHCP 服务 器 
时 ， 主 机 可 能 收 到 好 几 个 dhcpoffsr， 在 大 多 数 情况 下 ， 主 机 或 客户 端 接受 收 到 的 第 一 个 
dhcpoffer。 
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(3) 该 DHCP 服务 器 向 客户 端 发 送 一 个 确认 dhcppack)， 该 确认 里 面 已 经 包括 了 最 初 发 
送 的 中 地 址 和 该 地 址 的 一 个 稳定 期 间 的 租约 (默认 情况 是 8 天 )。 

(4) 当 租 约 期 过 了 一 半 时 ( 即 是 4 天 )， 客户 端 将 和 设置 它 的 TCP/IP 配置 的 DHCP 服务 器 
更 新 租约 。 当 租 期 过 了 87.5% 时 ， 如 果 客 户 端 仍 然 无 法 与 当初 的 DHCP 服务 器 联系 上 ， 它 将 与 
其 他 DHCP 服务 器 通信 ， 如 果 网 络 上 再 没有 任何 DHCP 服务 器 在 运行 , 该 客户 端 必须 停止 使 用 
该 他 地 址 ， 并 从 发 送 一 个 dhcpdiscover 数据 包 开 始 ， 再 一 次 重复 整个 过 程 。 


9.6.2 ”Windows Server 2008 R2 DHCP 服务 器 的 配置 


在 Windows Server 2008 R2 系统 中 默认 没有 安装 DHCP 服务 器 角色 ， 所 以 需要 手动 添加 
DHCP 服务 器 角色 。 需 要 注意 ， 要 安装 DHCP 服务 ， 首 先 需 要 确保 在 Windows Server 2008 R2 
服务 器 中 安装 了 TCP/IP， 并 为 这 台 服 务 器 指定 了 静态 P 地 址 (本 例 中 为 10.0.252.199)。 添 加 
DHCP 服务 器 角色 的 步骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”命令 ， 在 打开 的 窗口 中 
单 击 “ 添 加 角色 ”按钮 ， 启 动 Windows 添加 角色 向 导 。 

(2) 在 “服务 器 角色 ”列表 框 中 多 选 “DHCP 服务 器 ” 复 选 框 ， 并 单 击 “ 下 一 步 ” 按 钮 。 
安装 向 导 提示 ， 执 行 至 确认 界面 ， 单 击 “ 安 装 ” 完 成 DHCP 服务 器 的 安装 。 


1. 创建 DHCP 作用 域 


完成 DHCP 服务 组 件 的 安装 后 并 不 能 立即 为 客户 端 计算 机 自动 分 配 人 P 地 址 ， 还 需要 经 过 
一 些 设置 工作 。 首先 要 做 的 就 是 根据 网 络 中 的 节点 或 计算 机 数 确定 一 段 四 地 址 范围 , 并 创建 一 
个 下 作用 域 。 这 部 分 操作 属于 配置 DHCP 服务 器 的 核心 内 容 ， 具 体操 作 步 骤 如 下 。 

(1) 选择 “开始 ”一 “管理 工具 ”一 DHCP 命令 ， 打 开 “DHCP” 控 制 台 窗 口 。 在 左 窗 格 
中 单 击 DHCP 服务 器 名 称 ， 右 击 IPv4， 在 弹出 的 快捷 菜单 中 选择 “新 建 作用 域 ” 命 令 。 

(2) 打开 “新 建 作用 域 向 导 ” 对 话 框 ， 单 击 “ 下 一 步 ”按钮 打开“ 作用 域名 ”向 导 页 面 ， 
在 编辑 框 中 为 该 作用 域 输入 一 个 名 称 和 一 段 描 述 性 信息 ， 然 后 单 击 “ 下 一 步 ”按钮 。 

(3) 打开 “了 地 址 范围 ”向 导 页 面 ， 分 别 在 “起 始 下 地 址 ”和 “结束 下 地 址 ”编辑 框 中 
输入 已 经 确定 好 的 全 地 址 范围 的 起 止 瑟 地 址 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-50 所 示 。 

(4) 打开 “添加 排除 ”向 导 页 面 ， 在 这 里 可 以 指定 需要 排除 的 瑟 地址 或 他 地 址 范围 ， 在 
“起 始 耳 地址 ”编辑 框 中 输入 要 排除 的 瑟 地 址 并 单 击 “ 添 加 ”按钮 ， 然 后 重复 操作 即 可 。 完 成 
后 单 击 “下 一 步 ”按钮 。 

(5) 打开 “租约 期 限 ” 向 导 页 面 ， 默 认 将 客户 端 获取 的 人 P 地 址 使 用 期 限 限制 为 8 天 。 如 
果 没 有 特殊 要 求 ， 保 持 默认 值 不 变 ， 单 击 “ 下 一 步 ” 按 钮 。 
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(6) 打开 “路 由 器 (默认 网 关 )” 向 导 页 面 ， 根 据 实际 情况 输入 网 关 地 址 ， 并 单 击 “ 添 加 ” 
按钮 。 如 果 没 有 可 以 不 填 ， 直 接 单 击 “ 下 一 步 ”按钮 ， 如 图 9-51 所 示 。 





























新 建 作 用 域 向 导 
A r 地 十 作用 所 地 直 国 。 YY a. 
TH 服务器 8 了 R 轩 设 置 要 办 户 并 使 用 的 路由 基 的 IF 地 址 ， 请 在 下 而 输入 地 址 
入 入 此 作用 二 分 芭 81 地 址 区 围 。 理 地 址 四- 
下 后 下 地址 6 [10 . 0 .252 200 | RULE 
剖 训 下 地 直 im [10 0 252 29 1 0 252 254 鲁 队 (EE) 
伟 舌 到 DHCP 窜 启 尖 和 轩 设置 一 一 一 一 一 一 一 一 一 一 一 一 一 一 Bevwal 
疝 E 
攻 划 [下 习 
FR [255 25 255 0 | 
mn | 上- 步 oj| 下 - 步 呈 | 取消 
图 9-50 “IP 地 址 范围 ”向 导 页 面 图 9-51 “路 由 器 (默认 网 关 )” 向 导 页 面 


(7) 根据 向 导 提示 ， 配 置 DNS 服务 器 和 WINS 服务 器 。 

(8) 打开 “激活 作用 域 ” 向 导 页 面 ， 保 持 选 中 “是 ， 我 想 现在 激活 此 作用 域 ” 单 选 按钮 ， 
并 依次 单 击 “下 一 步 ” 和 “完成 ”按钮 完成 配置 。 

至 此 ， DHCP 服务 器 端的 配置 工作 基本 完成 了 。 现 在 DHCP 服务 器 已 经 做 好 了 准备 ， 随 
时 等 待 客户 端 计算 机 发 出 的 求 租 下 地 址 的 请 求 。 

2. 设置 DHCP 客户 端 


为 了 使 客户 端 计算 机 能 够 自动 获取 下 地 址 ， 除 了 需要 DHCP 服务 器 正常 工作 以 外 ， 还 需 
要 将 客户 端 计算 机 配置 成 自动 获取 卫 地 址 的 方式 .实际 上 在 默认 情况 下 客户 端 计算 机 使 用 的 都 
是 自动 获取 下 地 址 的 方式 ， 一 般 情 况 下 并 不 需要 进行 配置 。 这 里 以 Windows 7 为 例 对 客户 端 
计算 机 进行 配置 ， 具 体 方法 如 下 。 

(1) 在 桌面 上 右 击 “网 络 ” 图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

(2) 打开 “更 改 适 配器 设置 ”页 面 , 右 击 “ 本 地 连接 ”图 标 , 在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ,打开 “本 地 连接 属性 ”对 话 框 ， 双 击 “Intemet 协议 版 本 4 CTCP/Pv4)” 选 项 ， 在 
打开 的 对 话 框 中 选中 “自动 获得 卫 地 址 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 9-52 所 示 。 

至 此 ，DHCP 服务 器 端 和 客户 端 已 经 全 部 设置 完成 ,一 个 基本 的 DHCP 服务 环境 已 经 部 署 
成 功 。 在 DHCP 服务 器 正常 运行 的 情况 下 ， 首 次 开机 的 客户 端 会 自动 获取 一 个 卫 地 址 ， 并 拥 
有 8 天 的 使 用 期 限 。 
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inetiS4ICE BE 电 司 三 
常规 ”| 备用 配置 


如 果 网 络 云 持 此 功 舍 ,岂可 以 获取 自动 指派 的 ITP 设置 。 否则 , 您 需 
要 从 网 络 系统 管理 器 处 获 震 适当 的 IP 设置 。 





回 自动 获得 IF 地 址 (0) 
司 使 用 下 面 的 IP 地 址 (3) 


图 自动 获得 DNS 服务 器 地 址 (3) 
使 用 下 面 的 DNS 服务 器 地 址 (E): 


退出 时 验证 设置 (L) 高 级 (人 ).. 





















































图 9-52 设置 DHCP 客户 端 


3. 备份 、 还 原 DHCP 服务 器 配置 信息 


在 网 络 管理 工作 中 , 备份 一 些 必要 的 配置 信息 是 一 项 重要 的 工作 , 以 便当 网 络 出 现 故障 时 ， 
能 够 及 时 恢复 正确 的 配置 信息 , 保障 网 络 正常 运转 。 在 配置 DHCP 服务 器 时 也 不 例外 , Windows 
Server 2008 R2 服务 器 操作 系统 中 也 提供 了 备份 和 还 原 DHCP 服务 器 配置 的 功能 。 

(1) 打开 DHCP 控制 台 ， 展 开 DHCP 选项 ， 选 择 已 经 建立 好 的 DHCP 服务 器 ， 右 击 服务 
器 名 ， 在 弹出 的 快捷 菜单 中 选择 “备份 ”命令 。 

(2) 弹出 的 窗口 要 求 用 户 选择 备份 路 径 。 默 认 情 况 下 ，DHCP 服务 器 的 配置 信息 是 放 在 系 
统 安装 盘 的 Windows\system32\dhcp\backup 目录 下 。 如 有 必要 ， 可 以 手动 更 改 备份 的 位 置 。 

(3) 当 出 现 配 置 故障 时 ， 如 果 需 要 还 原 DHCP 服务 器 的 配置 信息 ， 右 击 DHCP 服务 器 名 ， 
在 弹出 的 快捷 菜单 中 选择 “还 原 ” 命 令 即 可 。 


4. DHCP 服务 器 的 IP 地 址 与 MAC 地 址 绑 定 策略 


在 DHCP 服务 器 中 ， 通 常会 保留 一 些 卫 地 址 给 一 些 特殊 用 途 的 网 络 设备 ， 如 路 由 器 、 打 
印 服务 器 等 ,如 果 客户 端 私自 将 自己 的 下 地 址 更 改 为 这 些 地 址 , 就 会 造成 这 些 设备 无 法 正常 工 
作 。 这 时 就 需要 合理 地 配置 这 些 人 P 地 址 与 MAC 地 址 进行 绑 定 ， 来 防止 保留 的 下 地 址 被 盗用 。 

打开 DHCP 服务 器 控制 台 ， 然 后 打开 已 经 建立 好 的 DHCP 服务 器 ， 右 击 “ 保 留 ” 选 项 ， 
从 弹出 的 快捷 菜单 中 选择 “新 建 保留 ”命令 。 在“ 名称 ”文本 框 中 输入 保留 的 计算 机 名 ,在 “人 P 


第 9 章 网 络 操作 系统 与 应 用 服务 器 “ 国 431 苦 


地 址 ”的 选项 中 选中 需 绑 定 的 他 地 址 ， 这 样 ， 就 为 网 络 设备 添加 了 一 个 MAC 地 址 绑 定 。 
9.6.3 Linux DHCP 服务 器 的 配置 


Linux 下 默认 安装 DHCP 服务 的 配置 文件 为 /etc/dhcpd.conf，dhcp 配置 通常 包括 3 个 部 分 : 
parameters、declarations 和 option。 下 面 分 别 对 这 3 个 部 分 所 涉及 的 参数 进行 解释 。 
(1) parameters: 用 于 说 明 dhcp 服务 工作 的 网 络 配 置 参 数 ， 如 表 9-3 所 示 。 


表 9-3 DHCP 服务 的 网 络 配置 参数 





参数 参数 含义 
ddns-update-style 配置 DHCP-DNS 更 新 模式 。 更 新 模式 包括 none、interim 和 ad-hoc 
default-lease-time 背 定 默 认 的 瑟 地 址 租赁 时 间 ， 单 位 是 秒 
max-lease-time 指定 最 大 租赁 时 间 长 度 ， 单 位 是 秒 
hardware 指定 网 卡 接口 类 型 和 MAC 地 址 
server-name DHCP 服务 器 名 称 
get-lease-hostnames flag 检查 客户 端 使 用 的 他 地 址 
fixed-address ip 分 配给 客户 端 一 个 固定 的 地 址 
authritative 拒绝 不 正确 的 卫 地 址 请 求 








(2) declarations: 用 来 描述 网 络 布局 、 提 供 dhcp 客户 的 他 地 址 分 配 策略 等 信息 ， 如 表 9-4 
所 示 。 


表 9-4 DHCP 服务 的 网 络 布局 























参数 参数 含义 
shared-network 用 来 设置 一 些 瑟 子 网 是 否 共享 同一 物理 网 络 
subnet 描述 一 个 他 地 址 是 否 属于 该 子 网 
range 提供 动态 分 配 下 的 范围 
host 用 于 定义 保留 主机 
group 为 一 组 参数 提供 声明 
allow unknown-clients:deny unknown-client 是 否 动态 分 配 卫 给 未 知 的 使 用 者 
allow bootp:deny bootp 是 否 响应 BOOTP 查询 
Allow booting:deny booting 是 否 响应 TFTP 查询 ， 主 要 用 于 无 盘 工 作 站 
filename 启动 文件 的 名 称 ， 主 要 用 于 无 盘 工 作 站 
next-server 设置 TFTP 服务 器 的 地 址 ， 主 要 用 于 无 盘 工 作 站 





(3) option〈 选 项 ): 用 来 配置 DHCP 可 选 参数 ， 全 部 用 option 关键 字 作为 开始 ， 如 表 9-5 
所 示 。 
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表 9-5 DHCP 服务 的 可 选 参数 
为 客户 端 设 定子 网 掩 码 


为 客户 端 指明 DNS 名 字 
为 客户 端 指明 DNS 服务 器 的 他 地 址 


subnet-mask 





domain-name 





domain-name-servers 

















host-name 为 客户 端 指定 主机 的 名 称 

Touters 为 客户 端 设 定 默认 网 关 

broadcast-address 为 客户 端 设 定 广 播 地 址 

ntp-server 为 客户 端 设 定 网 络 时 间 服 务 器 他 地 址 

time-offset 为 客户 端 设 定 和 格林 威 治 时 间 的 偏 移 时 间 ， 单 位 是 秒 


注意 : 如 果 客 户 端 使 用 的 是 Windows 操作 系统 ， 则 不 需要 使 用 host-name 选项 。 
这 里 采用 一 个 简单 的 Dhcpd.conf 的 配置 文件 例子 进行 说 明 。 


ddns-update-style none; 
subnet 192.168.0.0 netmask 255.255.255.0{ 
range 192.168.0.200 192.168.0.254; 
ignore client-updates; 
default-lease-time 3600; 
max-lease-time 7200; 
option routers 192.168.0.1; 
option domain-name"test.org” ; 
option domain-name-servers 192.168.0.2; 
} 
host testl{ hardware ethernet 00:E0:4C:70:33:65;fixed-address 192.168.0.8:} 


其 中 ，dhcp 服务 器 对 192.168.0.0 网 段 主 机 提供 中 地 址 分 配 服务 ， 其 网 关 为 192.168.0.1，dns 
地 址 为 192.168.0.2, dhcp 服务 为 客户 提供 的 下 地址 范围 为 192.168.0.200 一 192.168.0.254, 同时 ， 
对 主机 testl 提供 固定 的 卫 地 址 192.168.0.8。 


9.7 Samba 服务 器 的 配置 


9.7.1 Samba 协议 基础 
20 世纪 80 年 代 早期 ， 由 IBM 和 Sytec 合作 开发 了 一 套用 于 网 络 通信 接口 调用 的 NetBIOS 
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协议 。 在 NetBIOS 出 现 之 后 ， 为 了 使 Windows 主机 间 的 资源 能 够 共享 ，Microsoft 实现 了 一 个 
基于 NetBIOS 协议 的 共享 网 络 文件 /打印 服务 系统 ，Microsoft 称 之 为 SMB (Server Message 
Block) 通信 协议 ， 通 过 SMB 协议 ， 使 网 络 上 的 不 同 计算 机 之 间 能 够 共享 打印 机 、 文 件 和 串口 
通信 等 服务 。 随 着 网 络 应 用 技术 的 发 展 和 Internet 的 流行 , Microsoft 为 了 使 SMB 协议 得 到 更 广 
泛 的 应 用 ， 将 SMB 协议 进行 整理 ， 重 新 命名 为 CIFS (Common Internet File System) ， 使 其 成 
为 网 络 和 Intemet 上 计算 机 之 间 相 互 共享 数据 的 一 个 标准 协议 。 它 可 以 为 网 络 内 部 的 其 他 
Windows 和 Linux 机 器 提供 文件 系统 、 打 印 服务 或 其 他 一 些 信息 服务 。SMB 的 工作 原理 是 让 
NetBIOS 与 SMB 这 两 种 协议 运行 在 TCP/IP 的 通信 协议 上 , 且 通 过 NetBIOS nameserver 使 用 户 
的 Linux 机 器 可 以 在 Windows 的 网 络 邻 居 上 被 看 到 。 所 以 ， 这 样 就 可 以 和 Windows 的 机 器 在 
网 络 上 相互 沟通 、 共 享 文件 与 服务 了 。 

SMB 是 一 种 客户 端 /服务 器 协议 ，SMB 客户 端 使 用 TCP/IP，NetBEUTI 或 IPX/SPX 与 服务 
器 连接 ， 当 使 用 TCP/IP 时 ， 实 际 上 使 用 的 是 TCP/IP 上 的 NetBIOS。 因 此 ， 基 于 SMB 的 网 络 
使 用 的 底层 协议 虽然 不 一 样 ， 但 其 核心 还 是 让 基于 NetBEUI 的 NetBIOS 和 基于 TCP/IP 的 
NetBIOS 这 两 种 协议 都 运行 在 TCP/IP 的 通信 协议 上 ,并 通过 NetBIOS nameserver 使 网 络 中 Linux 
系统 用 户 的 机 器 可 以 在 Windows 的 网 络 邻居 上 被 看 到 ， 从 而 就 可 以 和 Windows 的 机 器 在 网 络 
上 相互 沟通 、 共 享 文件 与 服务 了 。 目 前 类 似 这 种 资源 共享 的 通信 协议 还 有 NFS、Appletalk 和 
Netware 等 。 


9.7.2 Samba 的 主要 功能 


虽然 目前 Linux 操作 系统 得 到 越 来 越 广泛 的 应 用 , 但 是 Windows 操作 系统 仍然 拥有 最 广大 
的 用 户 群 。 因 为 Windows 的 图 形 用 户 界面 做 得 更 好 ， 直 观 而 且 简 单 易 用 , 己 被 广大 用 户 所 瘤 悉 
并 得 到 认同 ， 很 多 人 都 在 使 用 它 。 在 一 个 局 域 网 中 ，Linux 和 Windows 甚至 更 多 种 操作 系统 共 
存 的 情况 屡见不鲜 。 因 此 , 为 了 实现 网 络 中 广大 的 基于 Windows 系统 的 客户 端 与 越 来 越 多 的 基 
于 Linux 系统 的 服务 器 之 间 的 计算 机 系统 集成 和 数据 共享 ， 一 个 有 效 的 办 法 就 是 在 Linux 系统 
中 安装 支持 SMB/CIFS 协议 的 软件 ， 这 样 Windows 客户 端 不 需要 更 改 设置 ， 就 能 如 同 使 用 
Windows 服务 器 一 样 使 用 Linux 系统 上 的 资源 了 ，Samba 就 是 用 来 实现 SMB 的 一 种 软件 。 

具体 来 说 ，Samba 主要 有 以 下 功能 。 

(1) Samba 服务 器 向 Linux 或 Windows 系统 客户 端 提 供 Windows 风格 的 文件 和 打印 机 共 
享 服务 ， 实 现 安装 在 Samba 服务 器 上 的 打印 机 和 文件 系统 的 共享 。 

(2) 支持 WINS 名 字 服 务 器 解析 及 浏览 。 在 Windows 网 络 中 ， 为 了 能 够 利用 网 上 资源 ， 
同时 自己 的 资源 也 能 被 别人 所 利用 ， 各 个 主机 都 定期 地 向 网 上 广播 自己 的 身份 信息 。 而 负责 收 
集 这 些 信息 ， 为 别 的 主机 提供 检索 情报 的 服务 器 被 称 为 浏览 服务 器 。Samba 可 以 有 效 地 完成 这 
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项 功能 ， 在 跨越 网 关 的 时 候 Samba 还 可 以 作为 WINS 服务 器 使 用 。 

(3) 提 供 SMB 客户 功能 .利用 Samba 提供 的 SMB client 程序 可 以 从 Linux 下 以 类 似 于 FTP 
的 方式 访问 Windows 的 资源 。 

(4) 备份 PC 上 的 资源 。 利 用 一 个 叫 smbtar 的 Shell 脚本 ， 可 以 使 用 tar 格式 备份 和 恢复 一 
台 远 程 Windows 上 的 共享 文件 。 

(5) 支持 Windows 域 控 制 器 和 Windows 成 员 服 务 器 对 使 用 Samba 资源 的 用 户 进行 认证 。 
提供 一 个 命令 行 工具 ， 可 以 有 限制 地 支持 Windows 的 某 些 管理 功能 。 

(6) 支持 安全 套 接 层 协议 。 


9.7.3 Samba 的 简单 配置 
下 面 给 出 一 个 samba.conf 的 具体 例子 并 进行 简要 说 明 。 


[global] 
workgroup =MYGROUP 
server string = SAMBA SERVER 
host allow = 192.168.0. 192.168.1. 
Interfaces = 192.168.0.1/24 192.168.1.1/24 
log file = /var/log/samba/log 
max log size = 50 
security = user 
passdb backend = tdbsam 


[homes] 
browseable = no 
writeable = yes 

[Documents] 

Path= /pubdoc/Documents 
writeable = yes 
guest ok = yes 

[cdrom] 

path= /mnt/cdrom 

Tead only = yes 

guest ok = yes 

locking = no 


public = yes 
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preexec = /bin/mount /dev/cdrom 
postexec = /bin/umount /dev/cdrom 
[printers] 
path = /var/spool/samba 
browseable = yes 
Printable = yes 
Tead only = yes 
guest ok = yes 


该 Samba 服务 器 配置 允许 192.168.0.0 和 192.168.1.0 网 段 的 用 户 进行 访问 ，Samba 服务 器 
的 安全 等 级 设置 为 user 级 。 登 录用 户 可 以 访问 自己 的 私人 目录 ， 其 他 人 无 权 访问 。 同 时 ， 
Samba 服务 器 提供 了 访问 documents 目录 以 及 光盘 和 打印 机 的 服务 。 在 访问 光驱 前 ，Samba 服 
务 器 会 将 光驱 加 载 到 /mnt/cdrom 中 ， 并 且 退 出 服务 时 ， 系 统 会 卸载 光驱 。 


9.8 Windows Server 2008 R2 安全 策略 


9.8.1 安全 策略 的 概念 


Windows Server 2008 R2 安全 策略 定义 了 用 户 在 使 用 计算 机 、 运 行 应 用 程序 和 访问 网 络 等 
方面 的 行为 ， 通 过 这 些 约束 避免 对 网 络 安全 性 的 有 意 或 无 意 的 伤害 。 

安全 策略 是 一 个 事先 定义 好 的 一 系列 应 用 计算 机 的 行为 准则 , 应 用 这 些 安全 策略 保证 用 户 
有 一 致 的 工作 方式 ， 防 止 用 户 破坏 计算 机 上 的 各 种 重要 的 配置 ， 保 护 网 络 上 的 敏感 数据 。 

在 Windows Server 2008 R2 中 ， 安 全 策略 分 为 “本 地 安全 策略 ”和 “组 策略 ”两 种 。 本 地 
安全 策略 实现 基于 单个 计算 机 的 安全 性 ， 对 于 较 小 的 企业 或 组 织 ， 或 者 是 在 网 络 中 没有 应 用 活 
动 目录 的 网 络 ， 通 常 使 用 本 地 安全 策略 ; 而 组 策略 可 以 在 站 点 、 组 织 单元 (OU) 或 域 的 范围 内 
实现 ， 通 常 应 用 于 较 大 规模 并 且 实 施 活动 目录 的 网 络 中 。 下 面 分 别 介绍 本 地 安全 策略 和 组 策略 
的 基本 内 容 。 


1. 本 地 安全 策略 


本 地 安全 策略 可 用 来 直接 修改 本 地 计算 机 的 账户 策略 、 本 地 策略 、Windows 防火 墙 和 公 钥 
策略 等 。 通 过 本 地 安全 策略 可 以 控制 以 下 几 项 。 

(1) 访问 计算 机 的 用 户 。 

(2) 授权 用 户 使 用 计算 机 上 的 资源 。 

(3) 是 否 在 事件 日 志 中 记录 用 户 或 组 的 操作 。 
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本 地 安全 策略 包括 账户 策略 、 本 地 策略 、Windows 防火 墙 和 公 钥 策略 等 ， 如 图 9-53 所 示 。 


























加 应 用 程序 近 抽 中 应 用 程序 控制 第 咯 
图 严 支 全 第 略 , 在 本 地 计算 机 Internet 协议 安全 性 0Fse 
he 和 六 让 配置 








图 9-53 本 地 安全 策略 


1) 账户 策略 

账户 策略 包含 下 面 两 个 子 集 。 

(1) 密码 策略 : 确定 密码 设置 (例如 强制 执行 和 有 效 期 限 ); 

(2) 账户 锁定 策略 : 确定 某 个 账户 被 锁定 在 系统 之 外 的 情况 和 时 间 长 短 。 

2) 本 地 策略 

本 地 策略 包含 下 面 3 个 子 集 。 

(1) 审核 策略 : 确定 是 否 将 安全 事件 记录 到 计算 机 上 的 安全 日 志 中 ， 同 时 确定 是 否 记 录 登 
录 成 功 或 登录 失败 ， 或 二 者 都 记录 ; 

(2) 用 户 权限 分 配 : 确定 哪些 用 户 或 组 具有 登录 计算 机 的 权利 或 特权 ; 

(3) 安全 选项 : 启用 或 禁用 计算 机 的 安全 设置 ， 例 如 数据 的 数字 信号 、Administrator 和 
Guest 的 账户 名 、 软 盘 驱 动 器 和 光盘 的 访问 、 驱 动 程序 的 安装 以 及 登录 提示 。 

3) 高 级 安全 Windows 防火 墙 

Windows 防火 墙 包含 下 面 3 个 子 集 。 

(1) 入 站 规则 : 设置 来 着 外 部 的 程序 、 端 口 、 卫 地 址 等 访问 权限 和 安全 策略 ; 

(2) 出 站 规则 : 设置 向 外 部 访问 的 程序 、 端 口 、 卫 地 址 等 权限 和 安全 策略 

(3) 连接 安全 规则 : 设置 隔离 、 免 身份 验证 、 服 务 器 到 服务 器 、 隧 道 等 连接 的 安全 规则 和 
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策略 。 

4) 公 钥 策略 

使 用 公 钥 策略 设置 可 以 做 到 以 下 几 点 。 

(1) 让 计算 机 自动 向 企业 证 书 颁发 机 构 提 交 证书 申 请 并 安装 颁发 的 证 书 ， 这 有 助 于 确保 计 
算 机 能 获得 在 组 织 内 执行 公 钥 加 密 操作 (例如 ， 用 于 Intemet 协议 安全 (IPSec) 或 客户 端 验证 ) 
所 需 的 证 书 。 有 关 计 算 机 的 证 书 自动 注册 的 详细 信息 ， 请 参阅 自动 证 书 申请 设置 。 

(2) 创建 和 分 发 证 书信 任 列表 〈CTL)。 证 书信 任 列表 是 根 证 书 颁 发 机 构 (CA) 的 证 书 的 
签名 列表 ， 针 对 于 指定 目的 〈 例 如 客户 身份 验证 或 安全 电子 邮件 ) 来 说 ， 管 理 员 认为 该 列表 值 
得 信任 。 例 如 ， 如 果 认 为 证 书 颁发 机 构 的 证 书 对 IPSec 而 言 可 以 信任 ， 但 对 客户 身份 验证 不 足 
以 信任 ， 则 通过 证 书信 任 列表 可 以 实现 这 种 信任 关系 。 有 关 证 书信 任 列表 的 详细 信息 ， 请 参阅 
企业 信任 策略 。 

(3) 建立 常见 的 受信 任 的 根 证 书 颁发 机 构 。 使 用 该 策略 设置 可 以 使 计算 机 和 用 户 服从 共同 
的 根 证 书 颁发 机 构 〔 除 他 们 已 经 各 自信 任 的 根 证 书 颁发 机 构 之 外 )。 域 中 的 证 书 颁 发 机 构 不 必 
使 用 该 策略 设置 ， 因 为 它们 已 经 获得 了 该 域 中 所 有 用 户 和 计算 机 的 信任 。 该 策略 主要 用 于 在 不 
属于 本 组 织 的 根 证 书 颁 发 机 构 中 建立 信任 。 有 关 根 证 书 颁 发 机 构 的 详细 信息 ， 请 参阅 建立 根 证 
书 颁发 机 构 信 任 的 策略 。 

(4) 添加 加 密 数据 恢复 代理 ， 并 更 改 加 密 数据 恢复 策略 设置 。 有 关 此 策略 设置 的 详细 信息 
请 参阅 恢复 数据 ， 有 关 加 密 文件 系统 (EFS) 的 一 般 概 述 ， 请 参阅 加 密 文件 系统 概述 。 

2. 组 策略 


组 策略 设置 定义 了 系统 管理 员 需 要 管理 的 用 户 桌面 环境 的 多 种 组 件 ， 例 如 ， 用 户 可 用 的 程 
序 、 用 户 桌 面 上 出 现 的 程序 以 及 “开始 ”菜单 选项 。 如 果 要 为 特定 用 户 组 创建 特殊 的 桌面 配置 ， 
请 使 用 组 策略 管理 单元 。 用 户 指定 的 组 策略 设置 包含 在 组 策略 对 象 中 ， 而 组 策略 对 象 又 与 选 定 
的 Active Directory 对 象 〈 即 站 点 、 域 或 组 织 单位 ) 相关 联 。 

组 策略 不 仅 应 用 于 用 户 和 客户 机 ， 还 应 用 于 成 员 服 务 器 、 域 控制 器 以 及 管理 范围 内 的 任何 
其 他 Windows 2000 计算 机 。 默 认 情况 下 ， 应 用 于 域 ( 即 在 域 级 别 应 用 , 刚好 在 Active Directory 
用 户 和 计算 机 管理 单元 的 根 目录 之 上 ) 的 组 策略 会 影响 域 中 的 所 有 计算 机 和 用 户 。Active 
Directory 用 户 和 计算 机 管理 单元 还 提供 内 置 的 域 控制 器 组 织 单位 。 如 果 将 在 那里 保存 域 控制 器 
账户 ， 则 可 以 使 用 组 策略 对 象 “默认 域 控制 器 策略 ”将 域 控制 器 与 其 他 计算 机 分 开 管理 。 

组 策略 包括 影响 用 户 的 “用 户 配 置 ”策略 设置 和 影响 计算 机 的 “计算 机 配置 ”策略 设置 。 
Windows Server 2003 提供 了 组 策略 编辑 器 geditmsc， 界 面 如 图 9-54 所 示 。 
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图 9-54 组 策略 编辑 器 界面 


利用 组 策略 及 其 扩展 ， 可 以 进行 以 下 操作 。 

(1) 通过 “管理 模板 ”管理 基于 注册 表 的 策略 。 组 策略 创建 一 个 包含 注册 表 设 置 的 文件 ， 
这 些 注 册 表 设置 写 入 注册 表 数据 库 的 “用 户 ” 或 “本 地 机 器 ”部 分 。 登 录 到 给 定 的 工作 站 或 服 
务 器 用 户 特定 的 用 户 配置 文件 写 在 注册 表 的 HREY CURRENT _ USER (HKCU) 下 ， 而 计算 机 
特定 设置 写 在 HKEY LOCAL MACHINE (HKLM) 下 。 有 关 步 骤 方 面 的 信息 ， 请 参阅 使 用 管 
理 模板 。 有 关 技 术 方 面 的 详细 信息 ， 请 参阅 Microsoft 网 站 实现 基于 注册 表 的 组 策略 
(http://www.microsoft.com/ )。 

(2) 指定 脚本 。 包 括 诸如 计算 机 启动 、 关 机 、 登 录 和 注销 等 脚本 。 

(3) 重 定向 文件 夹 。 可 以 将 文件 夹 《例如 My Documents 和 My Pictures) 从 本 地 计算 机 上 
的 Documents and Settings 文件 夹 中 重 定向 到 网 络 位 置 上 。 

(4) 管理 应 用 程序 。 有 了 组 策略 ， 就 可 以 通过 使 用 “软件 安装 ”扩展 来 指派 、 发 布 、 更 新 
或 修复 应 用 程序 。 

(5) 指定 安全 措施 选项 。 如 果 要 学 习 如 何 设置 安全 措施 选项 ， 请 参阅 安全 设置 。 


9.8.2 ”账户 密码 策略 设置 
配置 步骤 如 下 。 
(1) 单 击 “ 开 始 ” 一 “管理 工具 ”一 “本 地 安全 策略 ” 打开 “本 地 安全 策略 ”界面 ， 如 


图 9-55 所 示 。 
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和 相册 加 | 加 | 回 届 
[ 画 去 全 设置 
日 蝇 帐户 第 略 密码 必须 符合 复杂 性 要 求 
em 加 密码 长 度 最 小 值 3 个 字符 
田 强 帐户 沙 定 第 略 加 密码 最 把 使 用 期 限 1 天 
| 可 后 ee 加 密码 最 长 使 用 期 限 妇 天 
田 四 高 级 安全 Windows 防火 加 强制 密码 历史 3 个 记 住 的 密码 
刁 网 络 列表 管理 器 第 略 加 用 可 还 原 的 加 密 来 桂 存 密码 已 禁用 
局 公 负 第 略 


回 软件 限制 第 略 

国 应 用 程序 控制 策略 
轧 匡 安全 第 略 , 在 
加 高 级 审核 策略 配置 





(2) 选择 “账户 策略 


本 地 计算 机 


图 9-55 ”账户 策略 中 的 密码 策略 


”目录 下 的 “密码 策略 ”选项 ， 在 右边 的 详细 信息 窗口 中 显示 可 配置 


的 密码 策略 选项 及 当前 配置 值 。 
(3) 双击 “密码 必须 符合 复杂 性 要 求 ” 选项， 选中 “已 启用 ” 单 选 按钮 ， 然 后 单 击 “ 确 定 ” 


按钮 使 配置 更 改 生 效 。 
密码 策略 作用 于 域 账 
(1) 密码 必须 符合 复 
不 能 包含 用 户 的 账户 


户 或 本 地 账户 ， 包 含 以 下 几 个 方面 。 
杂 性 要 求 。 
名 ,不 能 包含 用 户 姓名 中 超过 两 个 连续 字符 的 部 分 ， 至少 有 六 个 字符 


长 。 包 含 以 下 四 类 字符 中 的 三 类 字符 : 


。 ”英文 大 写字 母 ( 
。 ”英文 小 写字 母 ( 
。 “10 个 基本 数字 
。 ” 非 字 母 字 符 例 
(2) 密码 长 度 最 小 值 
(3) 密码 最 长 使 用 期 
码 的 期 间 〈 以 天 为 单位 )。 


A 到 Z) 

a 到 z) 

(0 到 9) 

如 !、$、#、%) 

: 此 安全 设置 确定 用 户 账户 密码 包含 的 最 少 字符 数 。 

限 : 此 安全 设置 确定 在 系统 要 求 用 户 更 改 某 个 密码 之 前 可 以 使 用 该 密 





(4) 密码 最 短 使 用 期 


限 : 此 安全 设置 确定 在 用 户 更 改 某 个 密码 之 前 必须 使 用 该 密码 一 段 时 


Es 


二 
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间 ( 以 天 为 单位 )。 

(5) 强制 密码 历史 : 此 安全 设置 确定 再 次 使 用 某 个 旧 密 码 之 前 必须 与 某 个 用 户 账户 关联 的 
唯一 新 密码 数 。 

(6) 用 可 还 原 的 加 密 来 存储 密码 : 此 安全 设置 确定 操作 系统 是 否 使 用 可 还 原 的 加 密 来 储存 
密码 。 


9.8.3 IPSec 策略 设置 


本 实例 介绍 如 何在 如 图 9-56 所 示 的 Windows Server 2008 R2 网 关上 设置 相应 的 IPSec 策略 ， 
在 Windows Server 2008 R2 网 关 和 第 三 方 网 关 之 间 建立 一 条 IPSec 隧道 ， 使 NetA 和 NetB 之 间 
建立 起 安全 的 通信 通道 。 








NetA .192.168.5.1| 202.1.1.1 202.1.1.21 192. 168.6.1 esp 


S 












| 第 三 方 网 关 
Windows Server 2008 R2 




















图 9-56 Windows Server 2008 R2 网 关 


配置 一 个 IPSec 策略 ， 必 须 包 括 创 建 人 PSec 策略 、 创 建筑 选 器 列表 、 配 置 隧道 规则 以 及 进 
行 策略 指派 4 个 部 分 。 


1. 创建 IPSec 策略 


首先 ,在 Windows Server 2008 R2 网 关 创 建 本 地 IPSec 策略 。 如 果 Windows Server 2008 R2 
网 关 是 域 成 员 , 该 域 默 认 将 IPSec 策略 应 用 到 域内 的 所 有 成 员 ，Windows Server 2008 R2 网 关 就 
不 能 有 本 地 IPSec 策略 。 在 此 情况 下 , 可 以 在 Active Directory 中 创建 一 个 组 织 单位 , 使 Windows 
Server 2008 R2 网 关 成 为 该 组 织 单位 的 成 员 , 并 将 IPSec 策略 指派 到 该 组 织 单位 的 “组 策略 对 象 ” 
(CGPO)， 操 作 步 又 如 下 。 

(1) 在 图 9-55 中 ， 右 击 左下 角 的 “ 卫 安全 策略 ， 在 本 地 计算 机 ”选项 ， 单 击 “创建 正安 
全 策略 ”。 

(2) 输入 策略 的 名 称 ， 如 图 9-57 所 示 。 图 中 策略 名 为 IPSec Tunnel with non-Microsoft 
Gateway。 
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名 称 虽 


PSec Tunnel with non-Microsoft Gateway| 





据 述 00): 





《上 - 步 @) 取消 
图 9-57 设置 他 安全 策略 名 称 


(3) 清除 “激活 默认 响应 规则 ” 复 先 框 ， 单 击 “ 下 一 步 ” 按 饥 。 

(4) 逐步 单 击 “ 下 一 步 ” 按 乌 完 成 组 策略 的 创建 。 

2， 创建 第 选 器 列表 

需要 建立 两 个 第 先 器 ， 一 个 用 于 匹配 从 NetA 到 NetB (隧道 1) 的 数据 包 ， 另 一 个 用 于 匹 
配 从 NetB 到 NetA 《隧道 2) 的 数据 包 。 下 面 以 隧道 1 为 例 来 说 明 第 选 器 列表 的 创建 方法 。 

(1) 在 新 策略 属性 中 清除 “使 用 添加 向 导 ” 复 选 框 ， 单 击 “添加 ”按钮 以 创建 新 规则 。 

(2) 选择 “了 币 选 器 列表 ”选项 卡 。 

(3) 单 击 “ 添 加 ” 按 包 为 利 选 器 列表 笨 入 相应 的 名 称 ， 例 如 “NetAto NetB"， 清 除 “使 用 
添加 向 导 ” 复 选 框 并 单 击 “ 添 加 ”按钮 ， 弹 出 “了 第 选 器 属性 ”对 话 框 ， 如 图 9-58 所 示 。 

(4) 在 “ 源 地 址 ” 框 中 选中 “一 个 特定 的 王 地 址 域 子 网 ”在 “了 地 址 或 子 网 ”文本 框 中 
输入 NetA 的 下 地 址 “192.168.5.0/24”。 

(5) 在 “目标 地 址 ” 框 中 选择 “一 个 特定 的 全 地 址 域 子 网 ”在 “IP 地 址 或 子 网 ”文本 杠 
中 输入 NetB 的 下 地 址 “192.168.6.0/24”。 

(6) 清除 “镜像 ” 复 选 杠 。 

(7) 选择 “协议 ”选项 卡 。 将 “选择 协议 类 型 ”设置 为 “任何 ”(IPSec 隧道 不 支持 协议 或 
端口 特定 的 短 选 器 )， 单 击 “ 确 定 ”完成 配置 ， 如 图 9-59 所 示 。 
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图 9-58 ”筛选 器 NetA to NetB 的 源 目标 地 址 设 定 图 9-59 ”筛选 器 NetA to NetB 的 协议 属性 








3.， 配置 隧道 规则 


IPSec 策略 是 使 用 IKE 主 模式 的 默认 设置 创建 的 。IPSec 隧道 由 两 个 规则 组 成 ， 每 个 规则 
指定 一 个 隧道 终结 点 ， 因 为 有 两 个 隧道 终结 点 ， 所 以 就 有 两 个 规则 。 每 个 规则 中 的 筛选 器 必须 
代表 发 送 到 此 规则 的 隧道 终结 点 的 中 数据 包 中 的 源 和 目标 瑟 地 址 。 下 面 以 NetA 到 NetB 隧道 
配置 规则 为 例 来 说 明 隧道 规则 的 配置 。 

(1) 选择 “IP 筛选 器 列表 ”选项 卡 ， 选 中 创建 的 筛选 器 列表 。 

(2) 选择 “隧道 设置 ”选项 卡 ， 单 击 “ 隧 道 终结 点 由 此 IP 地 址 指定 ” 框 ， 然 后 输入 第 三 
方 网 关外 部 网 络 适配器 的 下 地 址 “202.1.1.2”， 如 图 9-60 所 示 。 

(3) 选择 “连接 类 型 ”选项 卡 ， 选 中 “所 有 网 络 连接 ”选项 。 

(4) 选择 “筛选 器 操作 ”选项 卡 ， 清 除 “ 使 用 添加 向 导 ” 复 选 框 ， 然 后 单 击 “ 添 加 ”按钮 
以 创建 新 的 筛选 器 操作 “〔 因 为 默认 操作 允许 以 明文 形式 接收 数据 流 )， 弹 出 “新 筛选 器 操作 属 
性 ”对 话 框 ， 如 图 9-61 所 示 。 

(5) 保持 “协商 安全 ”选项 为 启用 状态 ,清除 “接受 不 安全 的 通信 ， 但 始终 用 IPSec 响应 ” 
复 选 框 ( 以 确保 安全 操作 )。 

(6) 单 击 “ 添 加 ”按钮 保持“ 完整 性 和 加 密 ” 选 项 为 选中 状态 (如 果 要 定义 特定 的 算法 
和 会 话 密 钥 寿 命 ， 可 选择 “ 自 定义 (专家 用 户 )” 选 项 )。 

(7) 选择 “常规 ”选项 卡 ， 输 入 新 筛选 器 操作 的 名 称 〈 例 如 人 PSectunnel:-ESP DES/MD5)。 

(8) 选中 刚 创建 的 筛选 器 操作 ， 选 择 “ 身 份 验证 方法 ”选项 卡 ， 配 置 所 需 的 身份 验证 方法 
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(如 果 为 了 进行 测试 ， 则 使 用 “ 预 共享 密 钥 ”否则 使 用 “证 书 ”)。 











联 稍 选 器 列表 | 第 选 器 操作 | 身份 验证 方法 “隧道 设置 | 连接 类 型 | 安全 方法 | 常规 | 
到 时 个 许可 员 
| 
IPsec 日 (6 协商 安全 名; 
此 其 风 不 指定 Tsee 隘 道 (1) 
人 隘 沁 终结 点 由 此 I 地 址 指定 
IPv4 隧道 终结 点 : 
Es 1.1.4 
IEv6 隧道 终结 点 
一 
厂 接受 不 安全 的 通讯 ， 但 始终 用 IPsec 响应 () 
厂 如 果 无 法 建立 安全 连接 ， 风 多 许 回 退 到 不 安全 的 通信 0) 
厂 使 用 会 话 密 加 完全 向 前 保密 FFS) 0 














CC 喧 |] 了 |_ 训 Ww | 确定 取消 ”| 应 用 om | 
图 9-60 ”筛选 器 NetA to NetB 的 隧道 设置 图 9-61 筛选 器 操作 属性 的 设置 


4. 进行 策略 指派 

右 击 设置 好 的 了 P 安全 策略 “IPSecTunnel with non-Microsoft Gateway”， 然 后 单 击 “指定 ” 
按钮 ， 该 策略 旁边 的 文件 夹 图 标 中 若 出 现 一 个 绿色 箭头 ， 即 表明 安装 成 功 。 
9.8.4 ”Web 站 点 数字 证 书 

Web 站 点 数字 证 书 的 申请 和 安装 包括 申请 数字 证 书 、 下 载 数字 证 书 、 安 装 数字 证 书 3 个 部 分 。 

1. 添加 CA 证 书 服务 

(1) 单 击 “ 开 始 ” 一 “管理 工具 ”一 “服务 器 管理 器 ”一 “角色 ”一 “添加 角色 ”， 打开 
“添加 角色 向 导 ” 界 面 ， 勾 选 “Active Directory 证 书 服务 ”， 单 击 “ 下 一 步 ”按钮 ， 如 图 9-62 
所 示 。 

(2) 选择 角色 服务 ， 勾 选 “ 证 书 颁 发 机 构 ”， 单 击 “ 下 一 步 ”按钮 ， 如 图 9-63 所 示 。 

(3) 选择 安装 类 型 ，“ 企 业 ” 选 项 需要 域 环境 ， 而 “独立 ”选择 不 需要 域 环境 ， 此 处 可 根 
据 实际 情况 选择 ， 本 示例 中 ， 勾 选 “ 独 立 ” 单 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-64 所 示 。 
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图 9-62 选择 服务 器 角色 图 9-63 ”选择 角色 服务 


(4) 选择 CA 类 型 ， 由 于 是 第 一 次 安装 ， 勾 选 “ 根 ” 单 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 
9-65 所 示 。 
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图 9-64 选择 安装 类 型 图 9-65 选择 CA 类 型 


(5) 勾 选 “新 建 私 钥 ” 单 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 根 据 提示 ， 选 择 加 密 算 法 。 
(6) 配置 CA 名 称 ， 可 以 修改 ， 也 可 以 使 用 默认 名 称 ， 本 示例 中 手动 修改 为 “test-CA”， 
单 击 “ 下 一 步 ”按钮 ， 如 图 9-66 所 示 。 


(7) 设置 有 效 期 ,默认 为 5 年 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 9-67 所 示 。 
(8) 确认 安装 选择 ， 单 击 “ 安 装 ”， 安 装 完成 后 ， 单 击 “ 关 闭 ” 按 钮 ， 完 成 安装 。 
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9-66 配置 CA 名 称 9-67 设置 CA 证 书 有 效 期 


2. 配置 CA 证 书 


(1) 选择 “Web 服务 器 (HS)” 根 节点 ， 在 “功能 视图 ”中 找到 “服务 器 证 书 ” 如 图 9-68 
所 示 。 
(2) 双击 “服务 器 证 书 ” 找到 创建 的 名 为 “test-CA” 的 证 书 ， 单 击 右 侧 “操作 ”栏目 的 
“创建 证 书 申请 ”在 如 图 9-69 所 示 的 窗口 中 进行 配置 , 其 中 通用 名 称 文本 框 必须 输入 域名 或 本 
机 下 地 址 ， 其 他 项 目 可 自行 填写 。 





图 9-68 IIS 功能 视图 9-69 ”创建 证 书 申请 


(3) 选择 并 填写 需要 生成 文件 的 保存 路 径 与 文件 名 ,此 文件 下 面 的 步骤 中 将 会 被 使 用 ， 如 
图 9-70 所 示 。 
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(4) 在 正 浏 览 器 打开 网 址 “http://localhost/certsrv/”， 单 击 “ 申 请 证 书 ”， 如 图 9-71 所 示 。 





遍 文件 名 


为 下 书 申请 指定 文件 名 * 此 信息 可 以 发送 给 证 书 乱 冯 机 构 签名 * 
为 下 书 申请 措 定 一 个 文件 名 呈 ) 
EFNet to Desrtop\ back tz 到 





上 = 页 的 | 下 一步 厅 取消 


图 9-70 配置 证 书 保存 文件 


(5) 单 击 “ 高 级 证 书 申请 ”， 如 图 9-72 所 示 。 
(6) 单 击 “ 使 用 base64 编码 的 CMC 或 PKCS#10 文件 提交 一 个 证 书 申请 ， 或 使 用 Base64 
编码 的 PKCS#7 文件 续 订 证 书 申请 ”， 如 图 9-73 所 示 。 


实 路 基 夫 | 高 已 建议 有 站 ” 吾 ] 本 页 快讯 库 ~ 
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欢迎 使 用 





使 用 此 网 站 为 您 的 Web 浏览 器 、 电 子 邮件 客户 端 或 其 他 程序 申请 证 书 。 通 
您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (CA) 证 书 、 证 书 链 ， 或 证 书 吊销 列 寺 
有 关 Aclive Direclory 证 书 服务 的 详细 信息 ， 请 参阅 Aclive Direclory 证 
地 


图 9-71 申请 证 书 





实 收 呈 天 | 次 旧 ] 建 议 网 站 。 忆 ] 网 页 快讯 床 > 
税则 erosoft Active Directory 证 书 服务 


帘 收 二 天 | 次 已 涝 WP 站 ”书库 


荐 出 crosoft hetive Directory 证 书 服务 








图 9-72 ”高 级 证 书 申请 


CA 的 第 略 决 定 您 可 以 申请 的 证 书 类 31。 单 击 下 列 选 项 之 一 来 : 
便于 并 向 此 CA 提交 一 个 申请 。 








图 9-73 续 订 证 书 申请 


(7) 将 之 前 步骤 (3) 中 保存 的 密 钥 文档 文件 找到 并 打开 ， 将 里 面 的 文本 信息 复制 并 粘贴 
到 “Base-64 编码 的 证 书 申请 ”文本 框 中 ， 单 击 “ 提 交 ”， 如 图 9-74 所 示 。 

(8) 申请 已 经 提交 给 证 书 服务 器 ， 如 图 9-75 所 示 。 

(9) 单 击 “ 开 始 ” 一 “运行 ”， 输 入 certsrvmsc， 打 开 “ 证 书 颁发 机 构 ” 界 面 ， 单 击 “ 挂 
起 的 申请 ”， 找 到 刚才 提交 的 证 书 申请 ， 右 击 选择 “颁发 ”。 

(10) 在 正 浏 览 器 打开 网 址 “http://localhost/certsrv/”， 单 击 “ 查 看 挂 起 的 证 书 申请 的 状 
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态 ”， 新 页 面 打开 之 后 ， 单 击 “保存 的 申请 证 书 ”， 进 入 新 页 面 后 ， 勾 选 “Base 64 编码 ”， 然 
后 单 击 “ 下 载 证 书 ”， 将 证 书 保 存 到 指定 位 置 ， 后 面 步骤 中 会 使 用 到 此 文件 ， 如 图 9-76 所 示 。 














提交 一 个 证 书 申请 或 续 订 申请 





要 提交 一 个 保存 的 用 请 到 CA ,在 “保存 的 申请” 框 中 粘贴 一 个 由 外 部 漠 以 1 Web 服务 器 ) 生 成 多 
保存 的 申请 : 
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图 9-74 ”Base64 编码 证 书 申请 


(11) 选择 “Web 服务 器 (HIS) ” 根 节点 ， 
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证 书 正在 挂 起 


您 的 证 书 申 请 已 经 收 到 。 但 是 ,您 必须 等 待 管理 员 颁 发 您 申请 的 证 书 
您 的 申请 ID 为 4 
请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 


注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 才能 检索 您 的 证 书 


图 9-75 将 申请 提交 证 书 服务 器 





在 “功能 视图 ”中 找到 “服务 器 证 书 ”， 双 击 
弹出 “服务 器 证 书 ”页面 ， 单 击 “ 完 成 证 书 申请 ”， 选 择 步 又 (10〉 中 保存 的 文件 ，“ 好 记名 
称 ” 文 本 框 填 入 “webCA”， 此 处 可 以 自 定义 输入 名 称 ， 如 图 9-77 所 示 。 

ETT EE 
证书 已 也 发 EU 指定 证 书 颁发 机 构 响应 
您 申请 的 证 书 已 颁发 给 您 。 高 证 书 省 发 机 本 和 文件 来 充 成 先前 创建 的 证 书 由 请。 
图 再 于 您 想 打 开 或 保存 此 文件 吗 ? PR 
和 名称 eartner cr 
上 
来 源 ， lecalhest 
0) |_ mre | CR] 
Na 








图 9-76 下 载 证 书 


3. 配置 HTTPS 


(1) 选择 “Web 服务 器 (IIS) ” 根 节点 ， 





图 9-77 完成 证 书 申请 


打开 “ 绑 定 ” 界 面 ， 类 型 选择 “https”，SSL 


证 书 选 择 以 上 步骤 中 创建 的 证 书 “webCA”， 单 击 “ 确 定 ”， 如 图 9-78 所 示 。 
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(2) 单 击 左边 菜单 “CertSrv”， 在 “功能 视图 ” 中 找到 “SSL 设置 ”， 双 击 打开 ， 勾 选 “ 要 
求 SSL” 复 选 框 ， 单 击 “ 应 用 ”， 如 图 9-79 所 示 。 
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SSL 设置 
EE 拿 
类 型 四: 理 地 址 加 端口 中 ): Ea 您 可 以 在 此 页 上 修 隐 网 站 或 应 用 程序 内 容 的 SSL 设置 
htt https 可 ho.o.221% 可 ks 克 要 求 SSLO) 
主人 名 0 客户 EE 书 
区 sspnet_client G 知 略 加 
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4 习 wW Certsrv 人 必需 
En [wn | 
FSE 再 村 策 下 至 存 本 
图 9-78 绑 定 HITPS 图 9-79 SSL 设置 


(3) 在 正 浏 览 器 打开 网 址 “https://10.0.252.199/”， 成 功 显示 测试 页 面 ， 表 示 配 置 成 功 ， 
如 图 9-80 所 示 。 











https://10.0.25 Ine 
eS 
BS > 页 快讯 床 > 一 x 
便 收 屿 类 | 六 EE] 建 WBS 。 下] 网 页 快讯 订 本 网 站 标识 
臣 https://10.0.252.199/ 
] test-Ch 已 将 此 让 点 标识 为 r 
HTTPS 测 试 页 面 ! 10.0. 252. 199 
与 该 服务 器 的 这 次 连接 是 加 密 的 。 
我 应 该 信任 该 站 点 中 ? 
查看 证 书 





图 9-80 https 测试 页 面 
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组 网 技术 主要 是 部 署 和 配置 网 络 设备 ， 本 章 主要 介绍 交换 机 和 路 由 器 的 基本 知识 ， 并 通过 
实例 介绍 它们 的 配置 和 使 用 方法 。 


10.1 


01 


交换 机 和 路 由 器 


交换 机 基础 


1. 交换 机 的 分 类 


Cl 


根据 交换 方式 划分 。 

存储 转发 式 交换 (Store and Forward)。 交 换 机 对 输入 的 数据 包 先进 行 缓存 、 验 证 、 碎 
片 过 滤 ， 然 后 再 进行 转发 。 这 种 交换 方式 延 时 大 ， 但 是 可 以 提供 差错 校 验 ， 并 支持 不 
同 速度 的 输入 、 输 出 端口 间 的 交换 〈 非 对 称 交换 )， 是 交换 机 的 主流 工作 方式 。 
直通 式 交 换 (Cut-through)。 直 通 式 交换 类 似 于 采用 交叉 矩阵 的 电话 交换 机 ， 它 在 输 
入 端口 扫描 到 目标 地 址 后 立即 开始 转发 。 这 种 交换 方式 的 优点 是 延迟 小 、 交 换 速 度 快 ; 
其 缺点 是 没有 检 错 能 力 ， 不 能 实现 非 对 称 交换 ， 并 且 当 交换 机 的 端口 增加 时 ， 交 换算 
阵 实 现 起 来 比较 困难 。 

碎片 过 滤 式 交换 (Fragment Free)。 这 是 介 于 直通 式 和 存储 转发 式 之 间 的 一 种 解决 方 
案 。 交 换 机 在 开始 转发 前 先 检查 数据 包 的 长 度 是 否 够 64 个 字 节 , 如 果 小 于 64 个 字 节 ， 
说 明 是 冲突 碎片 ， 则 丢弃 ; 如 果 大 于 等 于 64 个 字 节 ， 则 转发 该 包 。 这 种 转发 方式 的 处 
理 速度 介 于 前 两 者 之 间 ， 被 广泛 应 用 于 中 低档 交换 机 中 。 

根据 交换 的 协议 层 划分 。 

第 二 层 交 换 。 根 据 MAC 地 址 进行 交换 。 

第 三 层 交 换 。 根 据 网 络 层 地 址 (IP 地 址 ) 进行 交换 。 

多 层 交 换 。 根 据 第 四 层 端 口号 或 应 用 协议 进行 交换 。 

根据 交换 机 结构 划分 。 

固定 端口 交换 机 。 这 种 交换 机 提供 有 限 数量 的 固定 类 型 端口 。 例 如 ， 华 为 
S2750-28TP-EI-AC 是 一 种 快速 以 太 网 交换 机 , 具有 24 个 10/100Base-TX 以 太 网 端口 ， 


图 450 若 。 网 络 工程 所 教程 (第 5 版 ) 


4 个 千 兆 SFP，2 个 复 用 的 千 光 10/100/1000Base-T 以 太 网 端口 Combo。 

。 ”模块 化 交换 机 。 这 种 交换 机 的 机 箱 中 预 留 了 一 定数 量 的 插 槽 , 用 户 可 以 根据 网 络 扩充 
的 需求 选择 不 同类 型 的 端口 模块 。 这 种 交换 机 具有 更 大 的 可 扩充 性 。 

(4) 根据 配置 方式 划分 。 

。 推倒 型 交换 机 。 这 种 交换 机 具有 专门 的 堆 倒 端口 ， 用 堆 释 电缆 把 一 台 交 换 机 的 UP 口 
连接 到 另 一 台 交 换 机 的 DOWN 口 ， 以 实现 端口 数量 的 扩充 ， 如 图 10-1 所 示 。 一 般 交 
换 机 能 够 堆 琶 4 一 9 层 ， 堆 全 后 的 所 有 交换 机 可 以 当 作 一 台 交 换 机 来 统一 管理 。 

。 ” 非 堆 型 交换 机 。 这 种 交换 机 没有 堆 释 端口 ， 但 可 以 通过 级 连 方式 进行 扩充 。 级 连 模 
式 使 用 以 太 网 端口 (100M FE 端口 、GE 端口 或 10GE 端口 ) 进行 层次 间 互 联 ， 如 
图 10-2 所 示 。 可 以 通过 统一 的 网 管 平台 实现 对 全 网 设备 的 管理 。 为 了 保证 网 络 运行 
的 效率 ， 级 连 层 数 一 般 不 要 超过 4 层 。 


~ 





MASTER 
成 为 中 心 管理 设备 









SLAVE 


_ 增加 这 条 链 路 实现 匈 余 
但 不 可 能 同时 生效 





图 10-1 交换 机 的 堆肥 图 10-2 交换 机 的 级 连 


(5) 根据 管理 类 型 划分 。 

。 ”网 管 型 交换 机 。 这 种 交换 机 支持 简单 网 络 管理 协议 ‘SNMP〉 和 管理 信息 库 (MIB)， 
可 以 指定 卫 地 址 ， 实 现 远程 配置 、 监 视 和 管理 。 

。 ” 非 网 管 型 交换 机 。 这 种 交换 机 不 支持 SNMP 和 MIB， 只 能 根据 MAC 地 址 进行 交换 ， 
无 法 进行 功能 配置 和 管理 。 

。 ”智能 型 交换 机 。 这 种 交换 机 支持 基于 Web 的 图 形 化 管理 和 MIB-I， 无 须 使 用 复杂 的 
命令 行 管理 方式 ， 配 置 和 维护 比较 容易 。 更 重要 的 是 ， 智 能 型 交换 机 提供 QoS 管理 、 
VPN、 用 户 认 证 以 及 多 媒体 传输 等 复杂 的 应 用 功能 ， 而 不 仅仅 是 转发 数据 分 组 。 

(6) 根据 层次 型 结构 划分 。 
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网 络 的 分 层 结构 把 复杂 的 大 型 网 络 分 解 为 多 个 容易 管理 的 小 型 网 络 ， 每 一 层 交 换 设备 分 别 
实现 不 同 的 特定 任务 。 分 层 的 网 络 设计 如 图 10-3 所 示 。 





核心 层 交 换 机 


汇聚 层 交换 机 


接 入 层 交 换 机 
图 10-3 分 级 网 络 结 


。 ” 接 入 层 交 换 机 。 接 入 层 是 工作 站 连接 网 络 的 入 口 ， 实 现 用 户 的 网 络 访问 控制 ， 这 一 层 
的 交换 机 应 该 以 低 成 本 提供 高 密度 的 接 入 端口 。 例 如 ， 华 为 S2700 系列 最 多 可 以 提供 
52 个 快速 以 太 网 端口 ， 适 合 中 小 型 企业 网 络 使 用 。 

。 汇聚 层 交 换 机 。 汇 聚 层 将 网 络 划分 为 多 个 广播 /组 播 域 ， 可 以 实现 VLAN 间 的 路 由 选 
择 ， 并 通过 访问 控制 列表 实现 分 组 过 滤 。 这 一 层 交 换 机 的 端口 数量 和 交换 速率 要 求 不 
是 很 高 ， 但 应 提供 第 三 层 交 换 功能 。 例 如 ， 华 为 S5700-SI 系列 交换 机 具有 多 个 
10M/100M/1000M Base-T 端口 和 千 兆 SFP 端口 ， 可 以 支持 多 种 光 模 块 收发 器 ， 同 时 
提供 先进 的 服务 质量 (QoS) 管理 和 速度 限制 ， 以 及 安全 访问 控制 列表 、 组 播 管理 和 
高 性 能 的 下 路 由 。 

。 ”核心 层 交 换 机 。 核 心 层 应 采用 可 扩展 的 高 性 能 交换 机 组 成 园区 网 的 主干 线路 ,提供 链 
路 元 余 、 路 由 元 余 、VLAN 中 继 和 负载 均衡 等 功能 ， 并 且 与 汇聚 层 交 换 机 具有 兼容 的 
技术 ,支持 相同 的 协议 。 例 如 ， 华 为 S6700 系列 交换 机 就 是 一 种 适合 部 署 到 核心 网 络 
的 交换 机 。 

2. 交换 机 的 性 能 参数 

(1) 端口 类 型 。 

。 。 双 绞 线 端口 。 双 绞 线 端口 主要 有 100Mbps 和 1000Mbps 两 种 。 百 兆 端 口 可 连接 工作 站 ， 
千 兆 端口 一 般 用 于 级 连 。 

。 ”光纤 端口 。SC 端口 (Subscriber Connector) 是 一 种 光纤 端口 ， 可 提供 千 兆 位 数据 传输 
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速率 ， 通 常用 于 连接 服务 器 的 光纤 网 卡 。 这 种 端口 以 “100bFX” 标 注 ， 如 图 10-4 所 
示 。 交 换 机 的 光纤 端口 都 是 两 个 ， 分别 是 一 发 一 收 ， 光 纤 跳 线 也 必须 是 两 根 ， 和 否则 端 
口 间 无 法 进行 通信 。SC 型 光纤 连接 器 如 图 10-5 所 示 。 





图 10-4 SC 型 光纤 端口 图 10-5 SC 型 光纤 连接 器 


。 ”GBIC 端口 。 交 换 机 上 的 GBIC (Giga Bit-rate Interface Converter，GBIC) 插 档 (Slot) 
用 于 安装 千 兆 位 端口 光电 转换 器 。GBIC 模块 是 将 位 电信 号 转换 为 光 信 和 号 的 热 插 拔 器 
件 ， 分 为 用 于 级 连 的 GBIC 模块 和 用 于 堆 受 的 GBIC 模块 ， 如 图 10-6 所 示 。 用 于 级 连 
的 GBIC 模块 又 分 为 适用 于 多 模 光 纤 (MMF) 或 单 模 光纤 (SMF) 的 不 同类 型 。 





图 10-6 GBIC 端口 和 GBIC 模块 


。 SFP 端口 。 小 型 机 架 可 插 拔 设 备 〔Small Form-factor Pluggable，SFP) 是 GBIC 的 升级 
版 本 ， 其 功能 基本 和 GBIC 一 致 ， 但 体积 减少 一 半 ， 可 以 在 相同 的 面板 上 配置 更 多 的 
端口 。 有 时 也 称 SFP 模块 为 小 型 化 GBIC (MINI-GBIC) 模块 ， 如 图 10-7 所 示 。 





图 10-7 SFP 模块 
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(2) 传输 模式 。 
。 ” 半 双 工 (half-duplex)。 半 双 工 交换 机 在 一 个 时 间 段 内 只 能 有 一 个 动作 发 生 , 发送 或 者 
接收 数据 , 两 个 动作 不 能 同时 进行 。 早期 的 集线器 就 是 半 双 工 产品 , 随 着 技术 的 进步 ， 

半 双 工 方式 的 产品 已 逐渐 被 淘汰 。 

。 ”全 双 工 (fall-duplex)。 全 双 工 交换 机 在 发 送 数据 的 同时 也 能 接收 数据 ， 两 者 可 同步 进 

行 。 全 双 工 传输 需要 使 用 两 对 双 绞 线 或 两 根 光纤 ,一般 双 绞 线 端口 和 光纤 端口 都 支持 

全 双 工 传输 模式 。 这 种 传输 模式 在 一 对 主机 之 间 建 立 了 一 条 虚拟 的 专用 连接 ， 使 得 数 
据 速 率 成 倍 提高 。 

。 ”全 双 工 / 半 双 工 自 适应 。 在 以 上 两 种 方式 之 间 可 以 自动 切换 。 在 光纤 接口 中 ， 
1000Base-TX 支持 自 适应 ， 而 1000Base-SX 、1000Base-LX 、1000Base-LH 和 
1000Base-ZX 均 不 支持 自 适应 ,不 同 速率 和 传输 模式 的 光纤 端口 间 无 法 进行 通信 ， 因 
而 要 求 相互 连接 的 光纤 端口 必须 具有 完全 相同 的 传输 速率 和 传输 模式 , 否则 将 导致 连 
通 故 障 。 千 兆 光纤 端口 标准 见 第 4 章 表 4-10。 

(3) 包 转 发 率 。 包 转发 率 也 称 端口 吞吐 率 ， 指 交换 机 进行 数据 包 转 发 的 能 力 ， 单 位 为 pps 
(package per second)。 包 转发 速率 是 以 单位 时 间 内 发 送 64 字 节 数 据 包 的 个 数 作为 计算 基准 的 。 
对 于 千 兆 以 太 网 来 说 ， 计 算 方法 如 下 : 

1000Mbps = 8b = (64+8+12) B=1 488 095pps 

当 以 太 网 帧 为 64 字 节 时 ， 需 考虑 8 字 节 的 帧 头 和 12 字 节 的 帧 间 除 开销 。 据 此 ， 一 台 交换 
机 的 包 转 发 速率 的 计算 方法 如 下 : 

包 转 发 率 = 千 H 兆 端口 数 X1.488Mpps 十 百 兆 端 口 数 X0.1488Mpps+ 其 余 端 口 数 X 相 应 包 转发 数 

(4) 背 板 带 宽 。 交换机 的 背 板 带宽 是 指 交 换 机 端口 处 理 器 和 数据 总 线 之 间 单 位 时 间 内 所 能 
传输 的 最 大 数据 量 。 背 板 带宽 标志 了 一 台 交换 机 总 的 交换 能 力 ， 单 位 为 Gbps。 一 般 交换 机 的 背 
板 带宽 从 几 个 Gbps 到 上 千 个 Gbps。 交 换 机 所 有 端口 能 提供 的 总 带宽 的 计算 公式 为 : 

总 带宽 = 端口 数 X 端 口 速率 X2 (全 双 工 模式 ) 

如 果 总 带宽 小 于 标 称 背 板 带 宽 ， 那 么 可 以 认为 背 板 带宽 是 线 速 的 。 例 如 ， 华 为 S5700 系列 
交换 机 的 背 板 带宽 可 扩展 到 256Gbps， 包 转发 速率 达到 132Mpps。 

(5) MAC 地 址 数 。MAC 地 址 数 是 指 交 换 机 的 MAC 地 址 表 中 可 以 存储 的 MAC 地 址 数量 。 
交换 机 将 已 识别 的 网 络 节点 的 MAC 地 址 放 入 MAC 地 址 表 中 ，MAC 地 址 表 存 放 在 交换 机 的 组 
存 中 ， 当 需要 向 目标 地 址 发 送 数据 时 ， 交 换 机 就 在 MAC 地 址 表 中 查找 相应 MAC 地 址 的 节点 
位 置 ， 然 后 直接 向 这 个 位 置 的 节点 转发 。 

不 同 档次 的 交换 机 端口 所 能 够 支持 的 MAC 地 址 数量 不 同 。 在 交换 机 的 每 个 端口 ， 都 需 
要 足够 的 缓存 来 记忆 这 些 MAC 地 址 ， 所 以 缓存 容量 的 大 小 决定 了 交换 机 所 能 记忆 的 MAC 地 
址 数 。 
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(6) VLAN 表 项 。VLAN 是 一 个 独立 的 广播 域 ， 可 有 效 地 防止 广播 风暴 。 由 于 VLAN 基 
于 逻辑 连接 而 不 是 物理 连接 ， 因 此 配置 十 分 灵活 。 在 有 第 三 层 交 换 功 能 的 基础 上 ，VLAN 之 间 
也 可 以 通信 。 最 大 VLAN 数量 反映 了 一 台 交换 机 所 能 支持 的 最 大 VLAN 数目 。 目 前 ， 交 换 机 
VLAN 表 项 数目 在 1024 以 上 ， 可 以 满足 一 般 企业 的 需要 。 

(7) 机 架 插 槽 数 。 固 定 配置 不 带 扩展 槽 的 交换 机 仅 支持 一 种 类 型 的 网 络 ， 固 定 配置 带 扩 展 
槽 的 交换 机 和 机 架 式 交换 机 可 支持 一 种 以 上 类 型 的 网 络 ， 例 如 以 太 网 、 快 速 以 太 网 、 千 兆 以 太 
网 、ATM 网 、 令 牌 环 网 及 FDDI 等 。 一 台 交 换 机 所 支持 的 网 络 类 型 越 多 ， 可 扩展 性 就 越 强 。 机 
架 揪 槽 数 是 指 机 架 式 交换 机 所 能 安插 的 最 大 模块 数 ， 扩 展 槽 数 是 指 固 定 配置 带 扩展 槽 的 交换 机 
所 能 安插 的 最 大 模块 数 。 


3， 交 换 机 支持 的 以 太 网 协议 
有 关 交 换 机 的 以 太 网 协议 如 表 10-1 所 示 。 
表 10-1 交换 机 支持 的 以 太 网 协议 

















标准 说 了 明 规 范 
IEEE 802.3i 以 太 网 10Base-T 规范 两 对 UTP，RJ-45 连接 器 ， 传 输 距离 为 100m 
100Base-TX: 两 对 5 类 UTP， 支 持 10Mbps、100Mbps 自 
Ns i 动 协商 。 
IEEE 802.3u | 快速 以 太 网 物理 层 规范 | 100Base-T4; 4 对 3 类 UIP。 
100Base-FX: 光纤 
ee i 1000Base-SX: 短波 SMF。 
IEEE 802.3z 于 光 以 太 网 物理 层 规范 | 1000Base_LX。 长 波 SMF 或 MMF 
IEEE 802.3ab ee 后 光 以 太 网 物理 层 | | 000Base_Tx 
IEEE 802 3ad Link Aggregation Control | 链 路 汇聚 技术 可 以 将 多 个 链 路 绑 定 在 一 起 , 形成 一 条 高 速 
Protocol (LACP) 链 路 ， 以 达到 更 高 的 带宽 ， 并 实现 链 路 备份 和 负载 均衡 
10GBase-SR 和 10GBase-SW 支持 短波 〈850 nm) 多 模 光 
纤 (MMF) ， 传 输 距离 为 2 一 300m。 
只 10GBase-LR 和 10GBase-LW 支持 长 波 (1 310nm) 单 模 光 
IEEE 802.3ae | 万 兆 以 太 网 物理 层 规范 纤 (SMF)， 传 输 距离 为 2m~ 10km。 
10GBase-ER 和 10GBase-EW 支持 超 长 波 (1 550nm) 单 模 
光纤 (SMF) ， 传 输 距离 为 2m 一 40km 
IEEE8023af | Oo oer Mem! 以 太 网 供电 ， 通 过 双 绞 线 为 以 太 网 提供 48V 的 直流 电源 
Fl c 和 为 交换 机 提供 全 双 工 流 控 (full-duplex flow control) 和 后 
IEEE 802.3x 人 压 式 半 双 工 流 控 (back pressure half-duplex flow control) 





Pressure 





机 制 
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续 表 
标 准 说 明 规 范 
IEEE 8021d | Spanning Tree Protocol 利用 生成 树 算法 消除 以 太 网 中 的 循环 路 径 , 当 网 络 发 生 故 
(STP) 障 时 重新 协商 生成 树 ， 并 起 到 链 路 备份 的 作用 
也 定义 了 以 太 网 MAC 帧 的 VLAN 标记 。 标 记分 两 部 分 : 
IEEE 802.1q | VLAN 标记 VLAN ID (12 位 ) 和 优先 级 (3 位 ) 
定义 了 交换 机 对 MAC 帧 进行 优先 级 分 类 ， 并 对 组 播 帧 进 
IEEE 802.lp | LAN 第 二 层 QoS/CoS 协议 | 行 过 滤 的 机 制 ,可 以 根据 优先 级 提供 尽力 而 为 (bestreffort) 
的 服务 质量 ， 是 IEEE 802.1q 的 扩充 协议 
At wy 提供 了 交换 设备 之 间 注 册 属 性 的 通用 机 制 。 属性 信息 ( 例 
ye 人 如 VLAN 标识 符 ) 在 星 个 局 域 网 设备 中 传播 开 来， 并 且 
RSS 由 相关 设备 形成 一 个 可 达 性 ? 子 集 .GARP 是 IEEE 802.1p 
的 扩充 部 分 
Sa GVRP 是 GARP 的 应 用 ,提供 与 802.1q 兼容 的 VLAN 裁 
Ee OA 前 (VLAN pruning) 功能 ,以 及 在 802.1q 干线 端口 (trunk 
"ok port) 建立 动态 VLAN 的 机 制 。GVRP 定义 在 IEEE 
Registration Protocol) 802.1p 中 
GARP 组 播 注册 协议 为 交换 机 提供 了 根据 组 播 成 员 的 动态 信息 进行 组 播 树 修 
GMRP (GARP Multicast 前 的 功能 ， 使 得 交换 机 可 以 动态 地 管理 组 播 过 程 。GMRP 
Registration Protocol) 定义 在 IEEE 802.1p 中 
IEEE 802.1s | Multiple Spanning 这 是 802.1q 的 补充 协议 ， 为 交换 机 增加 了 通过 多 重生 成 
Tree Protocol (MSTP) 树 进行 VLAN 通信 的 机 制 
i 基于 协议 和 端口 的 这 是 802.1q 的 补充 协议 ， 定 义 了 基于 数据 链 路 层 协议 进 
g VLAN 划分 行 VLAN 划分 的 机 制 
IEEE 802.1x ”| 用 户 认 证 在 局 域 网 中 实现 基于 端口 的 访问 控制 
Rapid Spanning Tree 当局 域 网 中 由 于 交换 机 或 其 他 网 络 元 素 失效 而 发 生 拓扑 
IEEE 802.1w | Protocol (RSTP) 结构 改变 时 ，RSTP 可 以 快速 地 重新 配置 生成 树 ， 恢 复 网 
络 的 连接 。RSTP 对 802.1d 是 向 后 兼容 的 





10.1.2 路 由 器 基础 


1. 路 由 器 的 分 类 


从 功能 、 性 能 和 应 用 方面 划分 ， 路 由 器 可 分 为 以 下 几 种 。 

(1) 骨干 路 由 器 。 骨 干 路 由 器 是 实现 主干 网 络 互 连 的 关键 设备 ， 通 常 采用 模块 化 结构 ， 通 
过 热 备份 、 双 电源 和 双 数 据 通路 等 元 余 技 术 提 高 可 靠 性 ， 并 且 采 用 缓存 技术 和 专用 集成 电路 
(CASIC) 加 快 路 由 表 的 查找 ,使 得 背 板 交换 能 力 达 到 几 百 个 “Gbps” 被 称 为 线 速 路由器。 例如 ， 
华为 的 NE40E 系列 以 上 路 由 器 就 属于 骨干 路 由 器 。 

(2) 企业 级 路 由 器 。 企 业 级 路 由 器 连接 许多 终端 系统 ， 提 供 通 信 分 类 、 优 先 级 控制 、 用 户 
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认证 、 多 协议 路 由 和 快速 自 愈 等 功能 , 可 以 实现 数据 、 语音、 视频 、 网 络 管理 和 安全 应 用 (VPN、 
入 侵 检测 和 URL 过 滤 等 ) 等 增值 服务 ， 对 这 类 路 由 器 的 要 求 是 实现 高 密度 的 LAN 端口 ， 同 时 
支持 多 种 业务 。 

(3) 接 入 级 路 由 器 。 接 入 级 路 由 器 也 叫 边 缘 路 由 器 ， 主 要 用 于 连接 小 型 企业 的 客户 群 ， 提 
供 1 到 2 个 广域网 端口 卡 (WIC), 实现 简单 的 信息 传输 功能 , 一 般 采 用 低档 路 由 器 就 可 以 了 ( 华 
为 AR3600 以 下 型 号 )。 


2. 路 由 器 的 端口 


路 由 器 不 仅 能 实现 局 域 网 之 间 的 连接 ， 还 能 实现 局 域 网 与 广域网 、 广 域 网 与 广域网 之 间 的 
相互 连接 。 路 由 器 与 广域网 连接 的 端口 称 为 WAN 端口 ， 路 由 器 与 局 域 网 连接 的 端口 称 为 LAN 
端口 。 常 见 的 网 络 端口 有 以 下 几 种 。 

(1) RJ-45 端口 。 这 种 端口 通过 双 绞 线 连接 以 太 网 。10Base-T 的 RJ-45 端口 标识 为 ETH， 
100Base-TX 的 RJ-45 端口 标识 为 10/100 b TX, 这 是 因为 快速 以 太 网 路 由 器 采用 10/100Mbps 自 
适应 电路 ， 如 图 10-8 所 示 。 




















10/100b TX 


图 10-8 ”RJ-45 端口 


(2) AUI 端口 。AUI 端口 是 一 种 D 型 15 针 连 接 器 ， 用 在 令 牌 环 网 或 总 线 型 以 太 网 中 。 路 
由 器 经 AUI 端口 通过 粗 同 轴 电 缆 收 发 器 连接 10Base-5 网 络 ， 也 可 以 通过 外 接 的 AUI-to-RJ-45 
适配器 连接 10Base-T 以 太 网 ， 还 可 以 借助 其 他 类 型 的 适配器 实现 与 10Base-2 细 同 轴 电 缆 或 
10Base-F 光缆 的 连接 。AUI 端口 如 图 10-9 所 示 。 

(3) 高 速 同步 串口 。 在 路 由 器 与 广域网 的 连接 中 ， 应 用 最 多 的 是 高 速 同 步 串 行 口 
(Synchronous Serial Port)， 这 种 端口 用 于 连接 DDN、 帧 中 继 、X.25 和 PSTN 等 网 络 。 通 过 这 种 
端口 所 连接 的 网 络 两 端 要 求 同 步 通 信 ， 以 很 高 的 速率 进行 数据 传输 。 高 速 同步 串 行 口 如 图 10-9 
所 示 。 
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以 太 网 AUI 高 速 同步 串口 ”ISDN BRI 口 系统 工作 
口 指示 灯 指示 灯 指示 灯 








以 太 网 CE 
AUJ 端口 高 速 同步 申 吕 {RJ-45) 


(DB-15) OB-60) ISDN Auxiliary 端口 


BRI 端 (RJ-45) 
《CRJ-45) 


图 10-9 路 由 器 背 板 示意 图 


(4) ISDN BRI 端口 。ISDN BRI 端口 通过 ISDN 线路 实现 路 由 器 与 Internet 或 其 他 网 络 的 
远程 连接 , 如 图 10-9 所 示 。 ISDN BRI 的 3 个 通道 (2B+D ) 的 总 带宽 为 144kbps, 端口 采用 RJ-45 
标准 ， 与 ISDN NT1 的 连接 使 用 RT-45-to-RJ-45 直通 线 。 

(5) 异步 串口 。 异 步 串口 (ASYNC) 主要 应 用 于 与 Modem 或 Modem 池 的 连接 ， 以 实现 
远程 计算 机 通过 PSTN 拨号 接 入 。 异 步 端口 的 速率 不 是 很 高 ， 也 不 要 求 同 步 传输 ， 只 要 求 能 连 
续 通信 。 如 图 10-10 所 示 为 异步 串口 。 
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图 10-10 异步 串口 


(6) Console 端口 。Console 端口 通过 配置 专用 电线 连接 至 计算 机 串 行 口 ， 利 用 终端 仿真 程 
序 (如 Hyper Terminal) 对 路 由 器 进行 本 地 配置 。 路 由 器 的 Console 端口 为 RT-45 口 (如 图 10-9 
所 示 )。Console 端口 不 支持 硬件 流 控 。 

(7) AUX 端口 。 对 路 由 器 进行 远程 配置 时 要 使 用 AUX 端口 (Auxiliary Prot)， 如 图 10-9 
所 示 。AUX 端口 在 外 观 上 与 RT-45 端口 一 样 ， 只 是 内 部 电路 不 同 ， 实 现 的 功能 也 不 一 样 。 通 过 
AUX 端口 与 Modem 进行 连接 必须 借助 RJ-45 to DB9 或 RT-45 to DB25 适配器 进行 电路 转换 。 
AUX 端口 支持 硬件 流 控 。 
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3. 路 由 器 的 操作 系统 


路 由 器 都 有 一 个 操作 系统 ， 各 个 厂家 的 路 由 器 操作 系统 不 尽 相 同 ， 但 基本 的 工作 原理 都 是 
相近 似 的 。 例 如 ， 华 为 路 由 器 、 交 换 机 等 数据 网 络 产品 采用 的 是 通用 路 由 平台 VRP (Versatile 
Routing Platform)， 常 用 的 VRP 有 VRP5 和 VRP8 两 个 版 本 。VRP5 是 目前 大 多 数 华为 设备 使 
用 的 组 件 化 设计 、 高 可 靠 性 网 络 操作 系统 ， 而 VRP8 支持 分 布 式 应 用 和 虚拟 化 技术 ， 可 以 适应 
企业 快速 扩展 的 业务 需求 。 

IOS 软件 系统 包括 “BootROM 软件 ”和 “系统 软件 ”两 部 分 ， 是 路 由 器 、 交 换 机 等 设备 启 
动 、 运 行 的 必要 软件 ， 为 网 络 设备 提供 支撑 、 管 理 、 业 务 等 功能 。 网 络 设备 加 电 后 ， 首 先 运行 
BootROM 软件 ， 初 始 化 硬件 并 显示 的 硬件 参数 信息 ， 然 后 再 运行 系统 软件 。 系 统 软件 一 方面 
提供 对 硬件 的 驱动 和 适 配 功能 ， 另 一 方面 实现 了 业务 功能 特性 。 

路 由 器 或 交换 机 的 操作 是 由 配置 文件 (configuration file 或 config) 控制 的 。 配 置 文件 包含 
有 关 设备 如 何 操作 的 指令 ， 是 由 网 络 管理 员 创建 的 ， 一 般 有 几 百 到 几 千 个 字 节 大 小 。 

IOS 命令 在 所 有 路 由 器 产品 中 都 是 通用 的 。 这 意味 着 只 要 掌握 一 个 操作 界面 就 可 以 了 ， 即 
命令 行 界面 (Command Line Interface，CLI)。 所 以 无 论 是 通过 控制 台 端口 , 或 通过 一 部 Modem， 
还 是 通过 Telnet 连接 来 配置 路 由 器 ， 用 户 看 到 的 命令 行 界面 都 是 相同 的 。 

IOS 有 3 种 命令 级 别 ， 即 用 户 视 图 、 系 统 视图 和 具体 业务 视图 。 在 不 同 的 视图 中 可 执行 的 
命令 集 不 同 ， 可 实现 的 管理 功能 也 不 同 ， 详 见 下 面 的 解释 。 


10.1.3 ”访问 路 由 器 和 交换 机 


如 果 要 对 网 络 互 连 设备 进行 具体 的 配置 ， 首 先 要 有 效 地 访问 它们 ， 一般 来 说 可 以 用 以 下 几 
种 方法 访问 路 由 器 或 交换 机 。 

(1) 通过 设备 的 Console (控制 台 ) 端口 接 终端 或 运行 终端 仿真 软件 的 计算 机 。 

(2) 通过 设备 的 AUX 端口 接 Modem， 通 过 电话 线 与 远方 的 终端 或 运行 终端 仿真 软件 的 计 
算 机 相连 。 

(3) 通过 Telnet 程序 访问 。 

(4) 通过 浏览 器 访问 。 

(5) 通过 网 管 软件 访问 。 

下 面 以 路 由 器 为 例 给 出 几 种 访问 网 络 互 连 设备 方法 的 连接 图 ， 如 图 10-11 所 示 。 

对 网 络 互 连 设备 的 第 一 次 设置 必须 通过 第 一 种 方法 来 实现 ， 并 且 第 一 种 方法 也 是 最 常用 、 
最 直接 有 效 的 配置 方法 。Console 端口 是 路 由 器 和 交换 机 设备 的 基本 端口 ， 它 是 对 一 台新 的 路 
由 器 和 交换 机 进行 配置 时 必须 使 用 的 接口 。 连 接 Console 端口 的 线 缆 称 为 控制 台电 缆 〔〈Console 
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Cable)。 在 具体 的 连接 上 ，Console 电缆 一 端 插入 网 络 设 备 的 Console 端口 ， 另 一 端 接 入 终端 或 
PC 的 串 行 接口 ， 从 而 实现 对 设备 的 访问 和 控制 。 


Web Server Telnet 网 管 工作 站 





局 -| Console i 


终端 /仿真 终端 路 由 器 Modem ”终端 /仿真 终端 








图 10-11 访问 路 由 器 的 几 种 方法 


10.2 ”交换 机 的 配置 


不 同 厂家 生产 的 不 同型 号 的 交换 机 ， 其 具体 的 配置 命令 和 方法 是 有 差别 的 ， 不 过 配置 的 原 
理 基 本 上 是 相同 的 。 本 节 以 华为 S5700 系列 交换 机 为 例 讲解 配置 交换 机 的 基本 方法 。 


10.2.1 ”交换 机 概述 


交换 机 是 一 种 具有 简化 、 低 价 、 高 性 能 和 高 端口 密度 特点 的 交换 产品 。 交 换 机 根据 OSI 层 
次 通常 可 分 为 第 二 层 交 换 机 和 多 层 交 换 机 。 通 常 所 说 的 交换 机 就 是 指 第 二 层 交 换 机 ， 也 叫 LAN 
交换 机 ， 连 接 方式 如 图 10-12 所 示 。 与 网 桥 一 样 ，LAN 交换 机 按 每 一 个 帧 中 的 MAC 地 址 相对 
简单 地 来 决策 信息 如 何 转发 ， 而 这 种 转发 决策 一 般 不 考虑 帧 中 隐藏 的 更 深 的 其 他 信息 。 与 网 桥 
不 同 的 是 ， 交 换 机 转发 延迟 很 小 ， 操 作 接 近 单个 局 域 网 性 能 ， 远 远 超过 了 使 用 普通 网 桥 互 连 的 
网 络 之 间 的 转发 性 能 。 

多 层 交 换 机 与 第 二 层 交换 机 工作 方式 类 似 。 除 了 使 用 第 二 层 MAC 地 址 进行 交换 以 外 ， 多 
层 交 换 机 还 使 用 第 三 层 网 络 地 址 。 传 统 上 ， 第 三 层 的 功能 只 发 生 在 路 由 器 中 ， 路 由 器 依赖 软件 
执行 路 由 选择 功能 实现 对 数据 的 存储 和 转发 。 随 着 硬件 技术 的 发 展 ， 改 良 的 硬件 已 经 允许 很 多 
第 三 层 路 由 选择 功能 出 现在 硬件 中 ， 进 而 出 现 了 多 层 交 换 机 。 同 时 ， 多 层 交 换 机 也 可 以 检查 第 
四 层 信 息 ， 包 括 帮助 识别 应 用 程序 类 型 的 TCP 报头 。 
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图 10-12 LAN 交换 机 


交换 技术 允许 共享 型 和 专用 型 的 局 域 网 段 进 行 带宽 调整 ， 以 减轻 局 域 网 之 间 信 息 流 通 出 现 
的 瓶颈 问题 。 现 在 已 有 以 太 网 、 快 速 以 太 网 、FDDI 和 ATM 技术 的 交换 产品 。 与 传统 的 网 桥 类 
似 ， 交 换 机 也 提供 了 许多 网 络 互联 功能 。 交 换 机 能 经 济 地 将 网 络 分 成 小 的 冲突 网 域 ， 为 每 个 工 
作 站 提供 更 高 的 带宽 。 协 议 的 透明 性 使 得 交换 机 在 软件 配置 简单 的 情况 下 可 以 直接 使 用 在 多 协 
议 网 络 中 ， 交 换 机 使 用 现 有 的 电缆 、 中 继 器 、 集 线 器 和 工作 站 的 网 卡 ， 而 不 必 升 级 高 层 硬件 ; 
对 工作 站 来 说 ， 交 换 机 是 透明 的 ， 这 样 可 降低 管理 开销 ， 简 化 因 增 加 、 移 动 网 络 节点 所 导致 的 
网 络 设置 操作 。 


10.2.2 ”交换 机 的 基本 配置 


1. 电缆 连接 及 终端 配置 


如 图 10-13 所 示 ， 接 好 PC 机 和 交换 机 各 自 的 电源 线 ， 在 关机 状态 下 ， 把 PC 机 的 串口 1 
(COM1) 通过 控制 台电 绕 与 交换 机 的 Console 端口 相连 ， 即 完成 设备 的 连接 工作 。 


交换 机 


PC 





图 10-13 仿真 终端 与 交换 机 的 连接 
交换 机 Console 端口 的 默认 参数 如 下 。 
。 ”端口 速率 ; 9600bps。 
。 ”数据 位 ，8。 
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。 ”奇偶 校 验 : 无 。 

. 停止 位 : 1。 

。 流 控 : 无 。 

在 配置 PC 机 的 超级 终端 时 只 需 保 证 端口 属性 的 配置 参数 与 上 述 参 数 相 匹 配 即 可 。 以 
Windows 环境 下 的 Hyper Terminal 为 例 配 置 COMI1 端口 属性 的 对 话 框 ， 如 图 10-14 所 示 。 











图 10-14 ”仿真 终端 端口 参数 配置 


2. 交换 机 的 启动 
在 配置 好 终端 仿真 软件 后 ， 终 端 窗口 就 会 显示 交换 机 的 启动 信息 ， 显 示 交 换 机 的 版 权 信息 
和 软件 加 载 过 程 ， 直 到 出 现 提示 用 户 设置 登录 密码 。 


BIOS loading ... 


Enter Password: 
Confirm Password 
<HUAWEL> 


完成 Console 登录 密码 设置 后 ， 用 户 便 可 以 配置 和 使 用 交换 机 。 
3， 交换 机 的 基本 配置 


在 默认 配置 下 ， 所 有 接口 处 于 可 用 状态 ， 并 且 都 属于 VLAN 1， 这 种 情况 下 交换 机 就 可 以 
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正常 工作 了 。 但 为 了 方便 管理 和 使 用 ， 首 先 应 对 交换 机 做 基本 的 配置 。 
(1) 配置 交换 机 的 设备 名 称 、 管理 VLAN 和 TELNET, 在 对 网 络 中 交换 机 进行 管理 时 需要 


对 交换 机 进行 基本 配置 。 
<HUAWEI> // 用 户 视图 提示 符 
<HUAWEI>system-view /进入 系统 视图 
[HUAWEI]sysname Switchl /修改 设备 名 称 为 SW1 
[Switch1] vlan 5 /创建 交换 机 管理 VLAN 5 


[Switch1-VLAN5] management-vlan 
[Switchl-VLANS] quit 


[Switch1] interface vlanif 5 // 创 建交 换 机 管理 VLAN 的 VLANIF 接口 
[Switchl-vlanif5] ip address 10.10.1.1 24 /配置 VLANIF 接口 卫 地址 
[Switchl-vlanif5] quit 

[Switch1] telnet server enable //Telnet 默认 是 关闭 的 ， 需 要 打开 
[Switch1] user-interface vty 0 4 /开启 VTY 线路 模式 

[Switchl-ui-vty0-4] protocol inbound telnet /配置 telnet 协议 

[Switchl-ui-vty0-4] authentication-mode aaa /配置 认证 方式 

[Switchl-ui-vty0-4] quit 

[Switch1] aaa 


[Switch1-aaa] local-user admin password irreversible-cipher Hello@123 
/配置 用 户 名 和 密码 ， 用 户 名 不 区 分 大 小 写 ， 密 码 区 分 大 小 写 


[Switch1-aaa] local-user admin privilege level 15 // 将 管理 员 的 账号 权限 设置 为 15 (最高) 
[Switchl-aaalquit 

[Switch1]quit 

< Switchl>save /在 用 户 视图 下 保存 配置 


(2) 登录 Telnet 到 交换 机 ， 出 现 用 户 视图 提示 符 。 


C:\Documents and Settings\Administrator> telnet 10.10.1.1 

/输入 交换 机 管理 下 
Login authentication 
Username:admin // 输 入 用 户 名 和 密码 
Password: 
Info: The max number of VTY users is 5, and the number 

of current VTY users on line is 1. 

The current login time ls 2016-07-03 13:33:18+00:00. 

< Switch1> 1/ 用户 视图 命令 行 提示 符 
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(3) 配置 交换 机 的 接口 。 交 换 机 的 接口 属性 默认 支持 一 般 网 络 环境 ， 一 般 情况 下 是 不 需要 
对 其 接口 进行 设置 的 。 在 某 些 情况 下 需要 对 其 端口 属性 进行 配置 时 ， 配 置 的 对 象 主要 有 接口 隔 
离 、 速 率 、 双 工 等 信息 。 

# 配 置 接口 GE1/0/1 和 GE1/0/2 的 端口 隔离 功能 ， 实 现 两 个 接口 之 间 的 二 层 数据 隔离 ， 三 层 数据 互通 


< Switch1> system-view 

[Switch1] port-isolate mode 12 

[Switch1] interface gigabitethernet 1/0/1 
[Switchl-GigabitEthernet1/0/1] port-isolate enable group 1 
[Switchl-GigabitEthernet1/0/1] quit 

[Switch1] interface gigabitethernet 1/0/2 
[Switchl-GigabitEthernet1/0/2] port-isolate enable group 1 
[Switch1-GigabitEthernetl1/0/2] quit 





























# 配 置 以 太 网 接口 GE0/0/1 在 自 协商 模式 下 协商 速率 为 100Mb/s 
< Switch1> system-view 

[Switch1] interface gigabitethernet 0/0/1 
[Switchl-GigabitEthernet0/0/1] negotiation auto 
[Switchl-GigabitEthernet0/0/1] auto speed 100 


# 配 置 以 太 网 电 接口 GE0/0/1 在 白 协商 模式 下 双 工 模式 为 全 双 工 模式 
< Switch1> system-view 

[Switch1] interface gigabitethernet 0/0/1 

[Switchl-GigabitEthernet0/0/1] negotiation auto 


(4) 查看 和 配置 MAC 地 址 表 。 交 换 机 通过 学 习 网 络 中 设备 的 MAC 地 址 ， 并 将 学 习 得 到 
的 MAC 地 址 存放 在 交换 机 的 缓存 中 。 在 需要 向 目标 地 址 发 送 数据 时 就 从 MAC 表 地 址 中 查找 
相应 地 址 ， 找 到 后 才 可 以 向 目标 快速 发 送 数据 。 

MAC 表 由 多 条 MAC 地 址 表 项 组 成 。MAC 地 址 表 项 由 MAC、VLAN 和 端口 组 成 ， 交 换 
机 在 收 到 数据 帧 时 , 会 解析 出 数据 帧 的 源 MAC 地 址 和 VLAN ID 并 与 接收 数据 帧 的 端口 组 合成 
一 条 数据 表 项 。MAC 地 址 表 项 的 查看 可 以 了 解 交换 机 运行 的 状态 信息 ， 排 查 故障 。 

# 执 行 命 令 display mac-address， 查 看 所 有 的 MAC 地 址 表 项 

< Switchl> display mac-address 


MAC Address VLAN/VSI Learned-From Type 
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00e0-0900-7890 10/- - blackhole 
00e0-0230-1234 20/- GE1/0/1 static 
0001-0002-0003 30/- Eth-Trunkl dynamic 


Total items displayed = 3 





# 执 行 命令 display interface vlanif 5， 显 示 VLANIF 接口 的 MAC 地 址 
< Switchl> display interface vlanif 5 
VlanifsS current state : DOWN 
Line protocol current state : DOWN 
Description: 
Route Port,The Maximum Transmit Unit is 1500 
Internet Address is 192.168.1.1/24 
JP Sending Frames' Format is PKTFMT_ ETHNT 2, Hardware address is 00e0-0987-7891 
Current system time: 2016-07-03 13:33:09+08:00 
Input bandwidth utilization =: -- 
Output bandwidth utilization : -- 


# 在 MAC 地 址 表 中 增加 静态 MAC 地 址 表 项 ， 目 的 MAC 地 址 为 0001-0002-0003，VLAN 5 的 报 文 ， 


从 接口 gigabitethemet0/0/5 转发 出 去 
[Switch1] mac-address static 0001-0002-0003 gigabitethernet 0/0/5 vlan 5 


10.2.3 ”配置 和 管理 VLAN 


VLAN 技术 是 交换 技术 的 重要 组 成 部 分 , 也 是 交换 机 配置 的 基础 。 它 用 于 把 物理 上 直接 相 
连 的 网 络 从 逻辑 上 划分 为 多 个 子 网 。 每 一 个 VLAN 对 应 着 一 个 广播 域 ， 处 于 不 同 VLAN 上 的 
主机 不 能 进行 通信 , 不 同 VLAN 之 间 的 通信 要 引入 第 三 层 交 换 技 术 才 可 以 解决 。 对 虚拟 局 域 网 
的 配置 和 管理 主要 涉及 链 路 和 接口 类 型 、GARP 协议 和 VLAN 的 配置 。 

链 路 和 接口 类 型 ， 为 了 适应 不 同 网 络 环境 的 组 网 需要 ， 链 路 类 型 分 为 接 入 链 路 〈Access 
Link) 和 干道 链 路 〈Trunk Link) 两 种 链 路 类 型 。 接 入 链 路 只 能 承载 1 个 VLAN 的 数据 帧 ， 用 
于 连接 交换 机 和 用 户 终端 ; 干道 链 路 能 承载 多 个 不 同 VLAN 的 数据 帧 ,用 于 交换 机 间 互 连 或 连 
接 交 换 机 与 路 由 器 。 根 据 接口 连接 对 象 以 及 对 收发 数据 帧 处 理 的 不 同 ， 以 太 网 接口 分 为 Access 
接口 、Trunk 接口 、Hybrid 接口 和 QinQ 接口 四 种 接口 类 型 ， 分 别 用 于 连接 终端 用 户 、 交 换 机 
与 路 由 器 以 及 公 网 与 私 网 的 互联 等 。 

GARP 协议 主要 用 于 建立 一 种 属性 传递 扩散 的 机 制 , 以 保证 协议 实体 能 够 注册 和 注销 该 属 
性 。 简 单 说 就 是 为 了 简化 网 络 中 配置 VLAN 的 操作 ， 通 过 GVRP 的 VLAN 自动 注册 功能 将 设 
备 上 的 VLAN 信息 快速 复制 到 整个 交换 网 ， 达 到 减少 手工 配置 量 及 保证 VLAN 配置 正确 的 
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目的 。 
交换 机 的 初始 状态 是 工作 在 透明 模式 ， 有 一 个 默认 的 VLAN1， 所 有 端口 都 属于 VLAN1。 


1. 划分 VLAN 的 方法 


虚拟 局 域 网 是 交换 机 的 重要 功能 , 通常 虚拟 局 域 网 的 实现 形式 有 多 种 , 分 别 是 基于 接口 ` MAC 
地 址 、 子 网 、 网 络 层 协议 、 匹 配 策略 方式 来 划分 VLAN。 

通过 接口 来 划分 VLAN。 交 换 机 的 每 个 接口 配置 不 同 的 PVID， 当 数据 帧 进入 交换 机 时 没有 带 
VLAN 标签 ， 该 数据 帧 就 会 被 打上 接口 指定 PVID 的 Tag 并 在 指定 PVID 中 传输 。 

通过 源 MAC 地 址 来 划分 VLAN。 建 立 MAC 地 址 和 VLAN ID 映射 关系 表 ， 当 交换 机 收 到 的 
是 Untagged 帧 时 ， 就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 传输 。 

通过 子 网 划分 VLAN。 建立 他 地 址 和 VLAN ID 映射 关系 表 , 当 交 换 机 收 到 的 是 Untagged 帧 ， 
就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 传输 。 

通过 网 络 层 协议 划分 VLAN。 建 立 以 太 网 帧 中 的 协议 域 和 VLAN ID 的 映射 关系 表 ， 当 收 到 的 
是 Untagged 帧 ， 就 依据 该 表 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指定 VLAN 中 传输 。 

通过 策略 匹配 划分 VLAN， 实 现 多 种 组 合 的 划分 ， 包括 接口 、MAC 地 址 、 耳 地 址 等 。 建 立 配 
置 策略 ， 当 收 到 的 是 Untagged 帧 ， 且 匹配 配置 的 策略 时 ， 给 数据 帧 添加 指定 VLAN 的 Tag 并 在 指 
定 VLAN 中 传输 。 


2. 配置 VLAN 举例 


在 网 络 中 ， 用 于 终端 与 交换 机 、 交 换 机 与 交换 机 、 交 换 机 与 路 由 器 连接 时 VLAN 的 划分 方式 
多 种 多 样 ， 需 要 灵活 运用 。 这 里 就 接 入 层 交 换 机 的 VLAN 划分 举例 说 明 。 


# 基 于 接口 划分 VLAN 


<HUAWEI> system-view /进入 交换 机 系统 视图 
[HUAWEI] sysname SwitchA 1/ 交换 机 命名 

[SwitchA] vlan batch 2 1/ 批量 方式 建立 VLAN 2 
[SwitchA] interface gigabitethernet 0/0/1 1/ 进 入 交换 机 接口 视图 
[SwitchA-GigabitEthernet0/0/1] port link-type access /配置 接口 类 型 
[SwitchA-GigabitEthernet0/0/1] port default vlan 2 // 将 接口 加 入 VLAN 2 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 /在 接口 视图 配置 上 联接 口 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk /配置 上 联接 口 类 型 


[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 /通过 VLAN2 
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[SwitchA-GigabitEthernet0/0/2] quit 


# 基 于 MAC 地 址 划分 VLAN 


<HUAWEI> system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] vlan batch 2 

[SwitchA] interface gigabitethernet 0/0/1 /在 接口 视图 配置 上 联接 口 
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid // 配 置 上 联接 口 类 型 


[SwitchA-GigabitEthernet0/0/1] port hybrid tagged vlan 2 // 通 过 VLAN2 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 /进入 交换 机 接口 视图 
[SwitchA-GigabitEthermet0/0/2] port link-type hybrid /配置 接口 类 型 
[SwitchA-GigabitEthermet0/0/2] port hybrid untagged vlan 2 。 // 将 接口 加 入 VLAN2 
[SwitchA-GigabitEthernet0/0/2] quit 


[SwitchA] vlan 2 

[SwitchA-vlan2] mac-vlan mac-address 22-22-22 /PC 的 MAC 地 址 与 VLAN2 关联 
[SwitchA-vlan2] quit 

[SwitchA] interface gigabitethernet 0/0/2 

[SwitchA-GigabitEthernet0/0/2] mac-vlan enable // 基 于 MAC 地 址 启用 接口 


[SwitchA-GigabitEthernet0/0/2] quit 

3. 配置 GARP 协议 

GARP (Generic Attribute Registration Protocol) 是 通用 属性 注册 协议 的 应 用 ， 提 供 
802.1Q 兼 容 的 VLAN 裁 前 VLAN pruning 功能 和 在 802.1Q 干线 端口 trunk port 上 建立 动态 
VLAN 的 功能 。GARP 配置 拓扑 如 图 10-15 所 示 ， 在 交换 机 A、B 分 别 配置 全 局 启用 GARP 功 
能 ， 达 到 所 有 子 网 设备 互 访 的 目的 。 








图 10-15 VLAN 拓扑 结构 图 


交换 机 A 的 配置 如 下 ， 交 换 机 B 和 交换 机 A 的 配置 相似 。 


# 配 置 交换 机 A， 全 局 启用 GARP 功能 
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<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] garp 


# 配 置 接口 为 Trunk 类 型 ， 并 允许 所 有 VLAN 通过 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthemet0/0/1] port trunk allow-pass vlan all 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan all 
[SwitchA-GigabitEthernet0/0/2] quit 


# 启 用 接口 的 GARP 功能 ， 并 配置 接口 注册 模式 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] garp 
[SwitchA-GigabitEthernet0/0/1] garp registration normal 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] garp 
[SwitchA-GigabitEthernet0/0/2] garp registration normal 
[SwitchA-GigabitEthernet0/0/2] quit 


配置 完成 后 ， 在 SwitchA 上 使 用 命令 display garp statistics， 查 看 接口 的 GARP 统计 信息 ， 
其 中 包括 GARP 状态 .GARP 注册 失败 次 数 、 上 一 个 GARP 数据 单元 源 MAC 地 址 和 接口 GARP 
注册 类 型 。 


[SwitchA] display garp statistics 
GARP statistics on port GigabitEthernet0/0/1 


GARP status : Enabled 

GARP registrations failed :0 

GARP last PDU origin : 0000-0000-0000 
GARP registration type : Normal 


GARP statistics on port GigabitEthernet0/0/2 
GARP status : Enabled 
GARP registrations failed :0 
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GARP last PDU origin : 0000-0000-0000 
GARP registration type : Normal 
Info: GARP is disabled on one or multiple ports. 


10.2.4 ”生成 树 协议 的 配置 


生成 树 协议 是 交换 式 以 太 网 中 的 重要 概念 和 技术 ， 该 协议 的 目的 是 实现 交换 机 之 间 宛 余 连 
接 的 同时 避免 网 络 环 路 的 出 现 ， 实 现 网 络 的 高 可 用 性 。 生 成 树 协议 通过 阻 断 相应 端口 来 消除 网 
络 环 路 。 它 在 交换 机 之 间 传 递 BPDU (Bridge Protocol Data Unit， 桥 接 协 议 数据 单元 )， 互 相 告 
知 诸如 交换 机 的 桥 一 、 链 路 开销 和 根 桥 ID 等 信息 ， 以 确定 根 桥 ， 从 而 决定 将 哪些 端口 置 于 转 
发 状态 ， 将 哪些 端口 置 于 阻 断 状态 ， 用 于 消除 环 路 。 

在 网 络 规划 中 出 于 宛 余 备份 的 需要 ， 在 设备 之 间 部 署 多 条 链 路 时 ， 可 以 在 网 络 中 部 署 STP 
协议 预防 环 路 ， 避 免 广 播 风暴 和 MAC 表 项 被 破坏 。 配 置 STP 如 图 10-16 所 示 。 当 前 网 络 中 设 
备 都 运行 STP， 通 过 相互 的 信息 交换 发 现 网 络 中 存在 的 环 路 ， 有 选择 的 对 某 个 端口 进行 堵塞 ， 
将 环形 网 络 结构 修剪 成 无 环 路 的 树 形 网 络 结构 ， 从 而 避免 网 络 环 路 造成 的 故障 。 








图 10-16 STP 组 网 图 


(1) 配置 STP 基本 功能 。 
配置 环 网 中 的 设备 生成 树 协议 工作 在 STP 模式 。 


# 配 置 SwitchA 的 STP 工作 模式 ，SwitchB、SwitchC、SwitchD 的 配置 相同 
<HUAWEL> system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] stp mode stp 
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配置 根 桥 和 备份 根 桥 设 备 
# 配 置 SwitchA 为 根 桥 
[SwitchA] stp root primary 


# 配 置 SwitchB 为 备份 根 桥 
[SwitchB] stp root secondary 








配置 端口 的 路 径 开销 值 ， 实 现 将 该 端口 阻塞 。 端 口 路 径 开销 值 取 值 范围 由 路 径 开 销 计 算 方 
法 决定 ， 这 里 选择 使 用 华为 计算 方法 为 例 ， 配 置 将 被 阻塞 端口 的 路 径 开销 值 为 20 000， 同 一 网 
络 内 所 有 交换 设备 的 端口 路 径 开 销 应 使 用 相同 的 计算 方法 。 
# 配 置 SwitchA 的 端口 路 径 开销 计算 方法 为 华为 计算 方法 ，SwitchB、SwitchD 配置 方法 相同 
[SwitchA] stp pathcost-standard legacy 











# 配 置 SwitchC 端口 GigabitEthernet0/0/1 端口 路 径 开销 值 为 20000 
[SwitchC] stp pathcost-standard legacy 

[SwitchC] interface gigabitethemet 0/0/1 
[SwitchC-GigabitEthernet0/0/1] stp cost 20000 
[SwitchC-GigabitEthernet0/0/1] quit 


启用 STP， 实 现 破 除 环 路 ， 将 与 PC 机 相连 的 端口 设置 为 边缘 端口 并 启用 端口 的 BPDU 报 
文 过 滤 功能 。 


# 配 置 SwitchD 端口 GigabitEthernet0/0/2 为 边缘 端口 并 启用 端口 的 BPDU 报 文 过 滤 功 能 
[SwitchB] interface gigabitethernet 0/0/2 

[SwitchB-GigabitEthernet0/0/2] stp edged-port enable 

[SwitchB-GigabitEthernet0/0/2] stp bpdu-filter enable 

[SwitchB-GigabitEthernet0/0/2] quit 


# 配 置 SwitchC 端口 GigabitEthernet0/0/2 为 边缘 端口 并 启用 端口 的 BPDU 报 文 过 滤 功 能 
[SwitchC] interface gigabitethernet 0/0/2 

[SwitchC-GigabitEthernet0/0/2] stp edged-port enable 

[SwitchC-GigabitEthernet0/0/2] stp bpdu-filter enable 

[SwitchC-GigabitEthernet0/0/2] quit 


设备 全 局 启用 STP， 所 有 设备 配置 相同 。 
# 设 备 SwitchA 全 局 启用 STP 
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[SwitchA] stp enable 
(2) 检查 配置 结果 。 


经 过 以 上 配置 ， 在 网 络 计算 稳定 后 ， 执 行 以 下 操作 ， 验 证 配置 结果 。 在 SwitchA 上 执行 
display stp brief 命令 ， 查 看 端口 状态 和 端口 的 保护 类 型 。 


[SwitchA] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 


将 SwitchA 配置 为 根 桥 后 ， 与 SwitchB、SwitchD 相连 的 端口 GigabitEthermet0/0/2 和 
GigabitEthermet0/0/1 在 生成 树 计 算 中 被 选举 为 指定 端口 。 

在 SwitchD 上 执行 display stp interface gigabitethernet 0/0/] brief 命令 ， 查 看 端口 
GigabitEthemet0/0/1 状态 。 


[SwitchD] display stp interface gigabitethernet 0/0/1 brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 


端口 GigabitEthernet0/0/1 在 生成 树 选举 中 成 为 指定 端口 ， 处 于 Forwarding 状态 。 
在 SwitchC 上 执行 display stp brief 命令 ， 查 看 端口 状态 ， 结 果 如 下 : 


[SwitchC] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 ALIE DISCARDING NONE 
0 GigabitEthernet0/0/3 ROOT FORWARDING NONE 


端口 GigabitEthernet0/0/3 在 生成 树 选举 中 成 为 根 端口 ， 处 于 FORWARDING 状态 。 端 口 
GigabitEthemet0/0/1 在 生成 树 选 举 中 成 为 Alternate 端口 ， 处 于 DISCARDING 状态 。 


10.3 ”路 由 器 的 配置 














现在 市 场 上 路 由 器 的 种 类 繁多 、 型 号 各 异 ， 但 华为 的 路 由 器 占 市 场 主流 的 产品 具有 一 定 的 
代表 性 。 本 节 采 用 华为 路 由 器 的 配置 案例 讲解 路 由 器 配置 的 相关 技术 和 知识 。 
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10.3.1 路 由 器 概述 


路 由 器 (Router) 是 一 种 典型 的 网 络 层 设备 ， 在 OSI 参考 模型 中 被 称 为 中 介 系 统 ， 用 于 完 
成 网 络 层 中 继 或 第 三 层 中 继 的 任务 。 路 由 器 负责 在 两 个 局 域 网 的 网 络 层 间接 传输 数据 分 组 ， 并 
确定 网 络 上 数据 传送 的 最 佳 路 径 。 因 为 它们 运行 PP 协议 基于 第 三 层 信息 为 分 组 选择 路 由 《如 
图 10-17 所 示 )， 所 以 路 由 器 已 经 成 为 Internet 的 骨干 。 






192.168.3.0 


192.168.1.0 路 由 器 
92.168.0.0 


Cw) 


图 10-17 路 由 器 


路 由 器 是 用 于 连接 多 个 逻辑 上 分 开 的 网 络 ， 所 谓 逻 辑 网 络 ， 是 代表 一 个 单独 的 网 络 或 者 一 
个 子 网 。 当 数据 从 一 个 子 网 传输 到 另 一 个 子 网 时 ， 可 通过 路 由 器 来 完成 。 因 此 ， 路 由 器 具有 判 
断 网 络 地 址 和 选择 路 径 的 功能 ， 它 能 在 多 网 络 互联 环境 中 建立 灵活 的 连接 ， 可 用 完全 不 同 的 数 
据 分 组 和 介质 访问 方法 连接 各 种 子 网 。 它 不 关心 各 子 网 使 用 的 硬件 设备 ， 但 要 求 运行 与 网 络 层 
协议 相 一 致 的 软件 。 路 由 器 分 本 地 路 由 器 和 远程 路 由 器 ， 本 地 路 由 器 是 用 来 连接 网 络 传输 介质 
的 ， 例 如 光纤 、 同 轴 电 缆 、 双 绞 线 ;远程 路 由 器 是 用 来 连接 远程 传输 介质 的 ， 并 要 求 相应 的 设 
备 ， 如 电话 线 要 配 调制 解 调 器 ， 无 线 要 通过 无 线 接收 机 、 发 射 机 。 

一 般 来 说 ， 异 种 网 络 互联 与 多 个 子 网 互联 都 应 采用 路 由 器 来 完成 。 

路 由 器 的 主要 工作 就 是 为 经 过 的 每 个 数据 包 寻 找 一 条 最 佳 的 传输 路 径 ， 并 将 该 数据 有 效 地 
传送 到 目的 站 点 。 由 此 可 见 ， 选 择 最 佳 路 径 的 策略 〈 路 由 算法 ) 是 路 由 器 的 关键 所 在 。 为 了 完 
成 这 项 工作 ， 在 路 由 器 中 保存 着 各 种 传输 路 径 的 相关 数据 一 一 路 由 表 (Routing Table) 供 路 由 
选择 时 使 用 。 路 由 表 中 保存 着 子 网 的 标志 信息 、 下 一 跳 地 址 和 将 数据 转发 出 去 的 接口 等 信息 。 
路 由 表 可 以 是 由 管理 员 手工 设置 好 的 ， 也 可 以 由 路 由 器 根据 网 络 当时 的 结构 和 状态 自动 调整 。 


192.168.2.0 
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由 系统 管理 员 事先 设置 好 固定 的 路 由 表 称 为 静态 〈static) 路 由 表 ， 一 般 是 在 安装 系统 时 就 
根据 网 络 的 配置 情况 预先 设 定 的 ， 它 不 会 随 未 来 网 络 结构 的 改变 而 改变 。 

动态 (Dynamic) 路 由 表 是 路 由 器 根据 网 络 系统 的 运行 情况 而 自动 调整 的 路 由 表 。 路 由 器 
根据 路 由 选择 协议 〈(Routing Protocol) 提供 的 功能 自动 学 习 和 记忆 网 络 的 运行 情况 ， 通 过 一 定 
的 路 由 算法 自动 计算 数据 传输 的 最 佳 路 径 。 


10.3.2 ”路 由 器 的 基本 配置 























1.， 路 由 器 的 命令 状态 


与 交换 机 的 配置 类 似 ， 路 由 器 的 配置 操作 有 3 种 模式 ， 即 用 户 视 图 、 系 统 视 图 和 具体 业务 
视图 。 用 户 视图 模式 下 ， 在 用 户 视图 下 ， 用 户 可 以 完成 查看 运行 状态 和 统计 信息 等 功能 ， 这 些 
命令 对 路 由 器 的 正常 工作 没有 影响 ; 在 系统 视图 模式 下 ， 用 户 可 以 配置 系统 参数 以 及 通过 该 视 
图 进入 其 他 的 功能 配置 视图 在 具体 业务 视图 模式 下 ， 用 户 可 以 配置 接口 相关 的 物理 属性 、 链 
路 层 特性 及 中 地址 等 重要 参数 ， 路 由 协议 的 大 部 分 参数 也 需要 在 这 种 模式 下 配置 。 
其 中 ， 配 置 模式 又 分 为 全 局 配置 模式 和 接口 配置 模式 、 路 由 协议 配置 模式 、 线 路 配置 模式 
等 子 模式 。 在 不 同 的 工作 模式 下 ， 路 由 器 有 不 同 的 命令 提示 状态 。 
。 ”<Switch>。 在 交换 机 正常 启动 后 ， 用 户 使 用 终端 仿真 软件 或 Telnet 登录 交换 机 ， 可 自 
动 进入 用 户 配置 模式 ， 这 时 用 户 可 以 看 路 由 器 的 连接 状态 ， 访 问 其 他 网 络 和 主机 ， 但 
不 能 看 到 和 更 改 路 由 器 的 设置 内 容 。 

。 [Switch]。 路 由 器 处 于 系统 视图 命令 状态 ， 在 <Switch> 提 示 符 下 输入 system-view， 可 进 
入 系统 视图 状态 ， 这 时 不 仅 可 以 执行 所 有 的 用 户 命 令 , 还 可 以 看 到 和 更 改 路 由 器 的 设 
置 内 容 。 

e [Switch-vlan1]。 路 由 器 处 于 具体 的 业务 视图 状态 ， 在 [Switch] 提 示 符 下 输入 需要 配置 的 

业务 命令 ， 可 进入 该 状态 。 退 出 具体 的 业务 输入 quit。 

。 在 开机 自 检 时 , 按 Ctrl+Break 组 合 键 可 进入 BootROM menu 状态 , 这 时 路 由 器 不 能 完 

成 正常 的 功能 ， 只 能 进行 软件 升级 和 手工 引导 , 或 者 进行 路 由 器 口令 恢复 时 要 进入 该 


2. 路 由 器 的 基本 配置 


配置 enable 口令 、enable 密码 和 主机 名 , 在 路 由 器 中 同样 可 以 配置 启用 口令 (enable password) 
和 启用 密码 (enable secret)， 一 般 情况 下 只 需 配置 一 个 就 可 以 ， 当 两 者 同时 配置 时 ， 后 者 生效 。 
这 两 者 的 区 别 是 启用 口令 以 明文 显示 而 启用 密码 以 密 文 形式 显示 。 主 机 名 及 路 由 器 口令 的 设置 
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和 上 一 节 对 交换 机 配置 的 主机 名 及 口令 相同 ， 这 里 不 再 袭 述 。 

配置 路 由 器 以 太 网 接口 ， 路 由 器 一 般 提 供 一 个 或 多 个 以 太 网 接口 槽 ， 每 个 槽 上 会 有 一 个 以 
上 以 太 网 接口 。 以 太 网 接口 因此 而 命名 为 {Ethemet 槽 位 /端口 } 或 { GigabitEthemet 槽 位 /端口 },， 例 
如 Ethemet0/0、GigabitEthermet 0/0/1， 也 可 缩写 为 Eth0/0、GE0/0/1。 

以 AR 3600 系列 路 由 器 为 例 ， 电 缆 连 接 如 图 10-18 所 示 ， 连 接 好 仿真 终端 到 路 由 器 的 
Console 电缆 线 ， 就 可 以 对 路 由 器 进行 初始 的 配置 工作 了 。 





路 由 器 


图 10-18 仿真 终端 与 路 由 器 的 连接 
对 以 太 网 接口 做 如 下 配置 : 


# 设 置 系统 的 日 期 、 时 间 和 时 区 
<Huawei> clock timezone BJ add 08:00:00 
<Huawei> clock datetime 20:10:00 2015-03-26 


# 设 置 设备 名 称 和 管理 亿 地 址 

<Huawei> system-view 

[Huawei] sysname Server 

[Server] interface gigabitethernet 0/0/0 
[Server-GigabitEthernet0/0/0] ip address 10.137.217.177 24 
[Server-GigabitEthernet0/0/0] quit 


# 设 置 Telnet 用 户 的 级 别 和 认证 方式 

[Server] telnet server enable 

[Server] user-interface vty 0 4 

[Server-ui-vty0-4] user privilege level 15 

[Server-ui-vty0-4] authentication-mode aaa 

[Server-ui-vty0-4] quit 

[Server] aaa 

[Server-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789 
[Server-aaa] local-user admin1234 privilege level 15 

[Server-aaa] local-user admin1234 service-type telnet 


444 
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[Server-aaa] quit 


由 于 同一 厂商 的 网 络 设备 往往 采用 一 种 网 络 操 作 平台 ， 交 换 机 、 路 由 器 的 配置 以 及 命令 的 
使 用 都 是 相似 的 。 


3. 批量 配置 技术 


大 型 网 络 的 组 网 和 网 络 管理 中 都 会 同时 用 到 多 个 路 由 器 和 交换 设备 ,可 以 通过 批量 配置 技 
术 快 速配 置 多 台 网 络 设备 。 例 如 华为 交换 机 AR 系列 路 由 器 通过 Auto-Config 功能 实现 设备 的 
批量 配置 Auto-Config 是 指 新 出 厂 或 空 配置 设备 加 电 启动 时 采用 的 一 种 自动 加 载 版 本 文件 ( 包 
括 系统 软件 、 补 丁 文件 、 配 置 文件 ) 的 功能 。 

如 图 10-19 所 示 ，RouterA、RouterB 和 RouterC 运行 Auto-Config 功能 后 , 设备 作为 DHCP 
客户 端 定时 向 DHCP 服务 器 发 送 DHCP 请 求 报 文 以 获得 配置 信息 ， 然 后 DHCP 服务 器 向 待 配 
置 设备 响应 DHCP 应 答 报 文 ， 报 文 内 容 包 括 分 配给 待 配 置 设备 的 下 地址、 文件 服务 器 的 他 地 
址 、 文 件 服务 器 的 登录 方式 、 版 本 文件 的 配置 信息 (此 信息 也 可 以 通过 中 间 文 件 获 取 ， 中 间 文 
件 需要 预先 编辑 存放 在 文件 服务 器 )， 最 后 设备 根据 收 到 的 DHCP 响应 报 文中 携带 的 配置 信息 
向 指定 的 文件 服务 器 自动 获取 版 本 文件 并 设置 为 下 次 启动 加 载 的 文件 ， 待 设备 重启 后 ， 设 备 就 
实现 了 版 本 文件 的 自动 加 载 。 






DHCP 服 务 器 


RQ 


FTP/TFTP/SFTP 服 务 器 






RouterC 


图 10-19 Auto-Config 组 网 图 


车 网 络 中 有 一 台 SFTP 服务 器 (GE0/0/1，IP 地 址 172.16.100.100/24)， 一 台 DHCP 服务 器 
(GE0/0/11，JP 地 址 172.16.100.1/24 用 于 与 SFTP 互联 ; Eth1/0/1-3，VLANIF10，IP 地 址 
172.16.200.100/24 用 于 与 待 配 置 路 由 器 互联 )，3 台 待 配置 路 由 器 。 举 例 说 明 配 置 同 网 段 
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Auto-Config 步骤 。 


步骤 1: 配置 SFTP 服务 器 。 
# 配 置 SFTP 服务 器 功能 及 参数 


<Huawei> system-view 
[Huawei] sysname SFTP Server 
[SFTP Server] rsa local-key-pair createThe key name will be: Host 
RSA keys defined for Host already exist. 
Confirm to replace them? (y/n)[n]:y 
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is less than 2048, 
It will introduce potential security risks. 
Input the bits in the modulus[default = 2048]:2048 
Generating keys... 


[SFTP Server] sftp server enable 


# 配 置 SSH 用 户 登 录 的 用 户 界面 

[SFTP Server] user-interface vty 0 4 

[SFTP Server-ui-vty0-4] authentication-mode aaa 
[SFTP Server-ui-vty0-4] protocol inbound all 
[SFTP Server-ui-vty0-4] user privilege level 15 
[SFTP Server-ui-vty0-4] quit 


# 配 置 SSH 用 户 

[SFTP Server] aaa 

[SFTP Server-aaa] local-user user password 

Please configure the login password (8-128) 

It is recommended that the password consist of at least 2 types of characters, 1 
ncluding lowercase letters, uppercase letters, numerals and special characters. 
Please enter password: 

Please confirm password: 

[SFTP Server-aaa] local-user user privilege level 15 

[SFTP Server-aaa] local-user user service-type ssh 

[SFTP Server-aaa] local-user user ftp-directory flash:\autoconfig 

[SFTP Server-aaa] quit 

[SFTP Server] ssh user user authentication-type password 


Es 
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# 配 置 SFTP 服务 器 的 他 地址 

[SFTP Server] interface gigabitethernet 0/0/1 

[SFTP Server-GigabitEthernet0/0/1] ip address 172.16.100.100 255.255.255.0 
[SFTP Server-GigabitEthemet0/0/1] quit 


# 在 SFTP 服务 器 上 配置 缺 省 路 由 
[SFTP Server] ip route-static 0.0.0.0 0.0.0.0 172.16.100.1 


步骤 2: 将 配置 文件 、 系 统 软件 和 补丁 文件 上 传 至 SFTP 服务 器 的 工作 目录 flash:\autoconfig 


上 《上 传 步骤 略 )。 


步骤 3: 配置 DHCP 服务 器 (以 AR2220 为 例 )。 


<Huawei> system-view 

[Huawei] sysname DHCP Server 

[DHCP Server] dhcp enable 

[DHCP Server] vlan 10 

[DHCP Server-vlan10] quit 

[DHCP Server] interface ethernet 1/0/1 

[DHCP Server-Ethernet1/0/1] port link-type hybrid 

[DHCP Server-Ethernet1/0/1] port hybrid untagged vlan 10 
[DHCP Server-Ethernet1/0/1] port hybrid pvid vlan 10 
[DHCP Server-Ethernet1/0/1] quit 

[DHCP Server] interface ethernet 1/0/2 

[DHCP Server-Ethernet1/0/2] port link-type hybrid 

[DHCP Server-Ethernet1/0/2] port hybrid untagged vlan 10 
[DHCP Server-Ethernet1/0/2] port hybrid pvid vlan 10 
[DHCP Server-Ethernet1/0/2] quit 

[DHCP Server] interface ethernet 1/0/3 

[DHCP Server-Ethernet1/0/3] port link-type hybrid 

[DHCP Server-Ethernet1/0/3] port hybrid untagged vlan 10 
[DHCP Server-Ethernet1/0/3] port hybrid pvid vlan 10 
[DHCP Server-Ethemetl/0/3] quit 

[DHCP Server] interface gigabitEthermet 0/0/1 

[DHCP Server-GigabitEthernet0/0/1] ip address 172.16.100.1 255.255.255.0 
[DHCP Server-GigabitEthernet0/0/1] quit 

[DHCP Server] interface vlanif 10 

[DHCP Server-Vlanifl10] ip address 172.16.200.100 255.255.255.0 
[DHCP Server-Vlanif10] dhcp select global 


[DHCP Server-Vlanmif10] quit 
[DHCP Server] ip pool auto-config 
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[DHCP Server-ip-pool-auto-config] network 172.16.200.0 mask 255.255.255.0 
[DHCP Server-ip-pool-auto-config] gateway-list 172.16.200.100 

[DHCP Server-ip-pool-auto-config] option 67 ascii ar V200R008 (C20&C30) .cfg 
[DHCP Server-ip-pool-auto-config] option 141 ascii user 

[DHCP Server-ip-pool-auto-config] option 142 cipher huawei@123 

[DHCP Server-ip-pool-auto-config] option 143 ip-address 172.16.100.100 
[DHCPServer-ip-pool-auto-config]option145ascii vrpfile=auto V200R008 


(C20&C30) .cc:vrpver=V200R008 (C20&C30) :patchfile=ar V200R008 (C20&C30) pat: 


[DHCP Server-ip-pool-auto-config] quit 


步骤 4: 待 配置 设备 RouterA、RouterB 和 RouterC 上 电 启 动 ，Auto-Config 流程 开始 运 


步骤 5: 检查 配置 结果 。 


#Auto-Config 流 程 结束 后 , 登录 到 待 配 置 设备 执行 命令 display startup 查看 设备 当前 的 启动 系统 软件 ， 


启动 配置 文件 和 启动 补丁 文件 
以 RouterA 为 例 : 

<Huawei> display startup 
MainBoard: 


Startup system software: 
Next startup system software: 


Backup system software for next startup: 


Startup saved-configuration file: 
Next startup saved-configuration file: 
Startup license file: 

Next startup license file: 

Startup patch package: 

Next startup patch package: 

Startup voice-files: 

Next startup voice-files: 


4. 配置 静态 路 由 


flash:/ar V200R008 (C20&C30) .ce 
flash:/ar V200R008 (C20&C30) .cc 
null 
flash:/ar V200R008 (C20&C30) .cfg 
flash:/ar V200R008 (C20&C30) .cfg 
null 
null 
flash:/ar V200R008 (C20&C30) pat 
flash:/ar V200R008 (C20&C30) .pat 
null 
null 


通过 配置 静态 路 由 ， 用 户 可 以 人 为 地 指定 对 某 一 网 络 访问 时 所 要 经 过 的 路 径 ， 网 络 结构 比 
较 简单 ， 且 一 般 到 达 某 一 网 络 所 经 过 的 路 径 唯一 的 情况 下 采用 静态 路 由 。 下 面 通过 一 个 实例 介 
绍 设置 静态 路 由 、 查 看 路 由 表 ， 理 解 路 由 原理 及 概念 。 
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1) IPv4 静态 路 由 设置 
如 图 10-20 所 示 设 计 拓 扑 结 构 ，3 台 路 由 器 分 别 命名 为 R1I、R2、R3， 所 使 用 的 接口 和 相 
应 的 下 地 址 分 配 如 图 10-20 所 示 ， 其 中 “/24” 与 “/30” 表 示 子 网 掩 码 为 24 位 和 30 位 。 


GE0/0/2 GE0/0/2 GE0/0/0 GE0/0/2 
0.1.4.1/30 10.1.4.2/30 扩 










GE0/0/D GE0/0/1 s 上 到 ra 
10.1.1. 1/24 10.1.2. 1/24 


PC1 PC2 PC3 
10.1.1.2/24 10.1.2.2/24 10. 1. 3. 2/24 


图 10-20 静态 路 由 实例 图 
路 由 器 R1 配置 文件 如 下 。 


# 

interface GigabitEthemet0/0/1 /接口 视图 配置 R1 的 接口 地 址 
ip address 10.1.1.1 255.255.255.0 

# 

interface GigabitEthermet0/0/2 

ip address 10.1.4.1 255.255.255.252 


# 

ip route-static 10.1.2.0 255.255.255.0 10.1.4.2 ”// 系 统 视图 配置 R1 到 不 同 网 段 的 静态 路 由 
ip route-static 10.1.3.0 255.255.255.0 10.1.4.2 

# 

Teturm 


路 由 器 R2 配置 文件 如 下 。 


# 

interface GigabitEthermet0/0/1 // 接 口 视图 配置 R2 的 接口 地 址 
ip address 10.1.2.1 255.255.255.0 

# 

interface GigabitEthermet0/0/2 

ip address 10.1.4.2 255.255.255.252 

# 

interface GigabitEthemet0/0/0 


ip address 10.1.5.1 255.255.255.252 

# 

ip route-static 10.1.1.0 255.255.255.0 10.1.4.1 
ip route-static 10.1.3.0 255.255.255.0 10.1.5.2 
# 

Teturn 


路 由 器 R3 配置 文件 如 下 。 


# 

interface GigabitEthermet0/0/1 

ip address 10.1.3.1 255.255.255.0 

# 

interface GigabitEthernet0/0/2 

ip address 10.1.5.2 255.255.255.252 

# 

ip route-static 10.1.1.0 255.255.255.0 10.1.5.1 
ip route-static 10.1.2.0 255.255.255.0 10.1.5.1 
# 

return 
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// 系 统 视图 配置 R2 到 不 同 网 段 的 静态 路 由 


// 接 口 视图 配置 R3 的 接口 地 址 


// 系 统 视图 配置 R3 到 不 同 网 段 的 静态 路 由 


通过 路 由 器 中 配置 静态 路 由 以 实现 路 由 器 RI、R2、R3 在 人 P 层 的 相互 连通 性 ， 也 就 是 要 


求 PC1、PC2、PC3 之 间 可 以 相互 ping 通 。 


首先 在 R1 路 由 器 上 查看 静态 路 由 表 的 信息 ， 可 以 看 到 两 条 静态 路 由 信息 ， 


10.1.4.2。 


<R1>display ip routing-table protocol static 
Route Flags: R - relay, D - download to fib 


Public routing table : Static 
Destinations : 2 
Static routing table status : <Active> 


Routes :2 


下 一 跳 都 指向 


Configured Routes : 2 


Destinations : 2 Routes :2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.2.0/24 Static 60 0 10.1.4.2 GigabitEthernet0/0/2 
10.1.3.0/24 Static 60 0 10.1.4.2 GigabitEthernet0/0/2 


Static routing table status : <Inactive> 


Destinations : 0 Routes:0 
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接 下 来 在 PC1 的 命令 行 ping 通 终端 PC2， 显 示 如 下 ,结果 验证 了 PC1 到 PC2 在 他 层 
数据 可 达 ， 其 他 PC 间 测 试 相 似 。 


PC1>ping 10.1.2.2 
Ping 10.1.2.2: 32 data bytes, Press Ctrl_C to break 
From 10.1.2.2: bytes=32 seq=]1 tt=126 time=16 ms 
From 10.1.2.2: bytes=32 seq=2 ttl=126 time=16 ms 
From 10.1.2.2: bytes=32 seq=3 tt=126 time=16 ms 
From 10.1.2.2: bytes=32 seq=4 ttl=126 time=16 ms 
From 10.1.2.2: bytes=32 seq=5 ttl=126 time=16 ms 
--- 10.1.2.2 ping statistics -一 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 16/16/16 ms 


2) IPv6 静态 路 由 设置 
网 络 拓扑 结构 如 图 10-21 所 示 ， 将 两 台 路 由 器 分 别 命名 为 Rl1 和 R2， 所 使 用 的 接口 和 相应 
的 中 地 址 分 配 如 图 10-21 所 示 。 


GE2/0/0 GE2/0/0 
3::1/64 3::2/64 








R1 R2 
GE1/0/0 GE1/0/0 
1::1/64 2::1/64 
PC1 PC2 
网 关 地 址 1: :1/64 网 关 地 址 2: : 1/64 
IP 地 址 1: :2/64 IP 地 址 2: :2/64 


图 10-21 IPv6 静态 路 由 实例 图 


配置 IPv6 路 由 协议 前 , 首先 启用 路 由 设备 转发 IPv6 单 播报 文 。 在 接口 下 配置 关于 IPv6 
特性 的 命令 前 需要 在 接口 上 启用 IPv6 功能 。 其 次 , 在 各 主机 上 配置 缺 省 网 关 ， 正 确 配置 各 
路 由 器 各 接口 的 IPv6 地 址 ， 使 网 络 互通 。 

R1 的 相关 配置 如 下 。 




















基 

ipv6 // 启 用 路 由 器 IPv6 报 文 转发 能 力 
# 

interface GigabitEthernet1/0/0 

ipv6 enable // 在 接口 上 启用 IPv6 功能 

ipv6 address 1::1 64 

# 

interface GigabitEthemet2/0/0 

ipv6 enable 

ipv6 address 3::1 64 

# 

ipv6 route-static 2:: 64 3::1 /配置 R1 到 2::64 网 段 的 静态 路 由 
# 

return 


R2 的 相关 配置 如 下 。 


# 

ipv6 

# 

interface GigabitEthernet1/0/0 
ipv6 enable 

ipv6 address 2::1 64 

# 

interface GigabitEthernet2/0/0 
ipv6 enable 

ipv6 address 3::2 64 

# 

ipv6 route-static 1:: 64 3::2 /配置 Rl1 到 1::64 网 段 的 静态 路 由 
# 

Teturn 


3) 检查 配置 结果 
使 用 display ipv6 routing-table 命令 查看 路 由 器 的 正路 由 表 。 
使 用 Ping ipv6 命令 验证 连通 性 ， 要 求 从 PC1 可 以 ping 通 PC2。 
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10.4 配置 路 由 协议 


本 节 主 要 讲述 对 路 由 协议 的 配置 。 IP 路 由 选择 协议 用 有 效 的 、 无 循环 的 路 由 信息 填充 路 由 
表 ， 从 而 为 数据 包 在 网 络 之 间 传 递 提供 了 可 靠 的 路 径 信息 。 路 由 选择 协议 又 分 为 距离 矢量 、 链 
路 状态 和 平衡 混合 3 种 。 

距离 矢量 (Distance Vector) 路 由 协议 计算 网 络 中 所 有 链 路 的 矢量 和 距离 并 以 此 为 依据 确 
认 最 佳 路径 。 使 用 距离 矢量 路 由 协议 的 路 由 器 定期 向 其 相 邻 的 路 由 器 发 送 全 部 或 部 分 路 由 表 。 
典型 的 距离 矢量 路 由 协议 有 RIP (Routing Information Protocol， 路 由 选择 信息 协议 )。 

链 路 状态 (Link State) 路 由 协议 使 用 为 每 个 路 由 器 创建 的 拓扑 数据 库 来 创建 路 由 表 ， 每 个 
路 由 器 通过 此 数据 库 建 立 一 个 整个 网 络 的 拓扑 图 。 在 拓扑 图 的 基础 上 通过 相应 的 路 由 算法 计算 
出 通 往 各 目标 网 段 的 最 佳 路 径 ， 并 最 终 形 成 路 由 表 。 典 型 的 链 路 状态 路 由 协议 是 OSPF (Open 
Shortest Path First， 开 放 最 短路 径 优先 ) 路 由 协议 和 IS-IS (Intermediate System to Intermediate 
System， 属 于 内 部 网 关 协 议 IGP)。 

平衡 混合 (Balanced Hybrid) 路 由 协议 结合 了 链 路 状态 和 距离 矢量 两 种 协议 的 优点 ， 此 类 
协议 的 代表 是 BGP， 即 边界 网 关 协 议 。 

下 面 分 别 讨论 如 何在 路 由 器 中 配置 这 些 动 态 路 由 协议 。 


10.4.1 配置 RIP 协议 





1. 配置 RIP 协议 


RIP 是 距离 矢量 路 由 选择 协议 的 一 种 。 路 由 器 收集 所 有 可 到 达 目 的 地 的 不 同 路 径 ， 并 且 保 
存 有 关 到 达 每 个 目的 地 的 最 少 站 点 数 的 路 径 信息 ， 除 到 达 目 的 地 的 最 佳 路 径 外 ， 任 何其 他 信息 
均 予 以 丢弃 。 同 时 ， 路 由 器 也 把 所 收集 的 路 由 信息 用 RIP 协议 通知 相 邻 的 其 他 路 由 器 。 这 样 ， 
正确 的 路 由 信息 逐渐 扩散 到 了 全 网 。 

RIP 使 用 非常 广泛 ， 它 简单 、 可 靠 ， 便 于 配置 。RIP 版 本 2 还 支持 无 类 域 间 路 由 (Classless 
Inter-Domain Routing，CIDR)、 可 变 长 子 网 掩 码 (Variable Length Subnetwork Mask，VLSMD) 
和 不 连续 的 子 网 ， 并 且 使 用 组 播 地 址 发 送 路 由 信息 。 但 是 RIP 只 适用 于 小 型 的 同 构 网 络 ， 因 为 
它 允 许 的 最 大 跳 数 为 15, 任何 超过 15 个 站 点 的 目的 地 均 被 标记 为 不 可 达 。RIP 每 隔 30s 广播 一 
次 路 由 信息 。 

RIP 应 用 于 OSI 网 络 七 层 模型 的 应 用 层 。 各 厂家 定义 的 管理 距离 (AD， 即 优先 级 ) 略 有 不 
同 ， 华 为 定义 的 优先 级 是 100。 

其 相关 的 命令 如 表 10-2 所 示 。 
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表 10-2 RIP 的 相关 命令 









display rip 1 route 看 路 由 表 信 息 
display rip route | 查看 RIP 协议 的 路 由 信息 
查看 RIP 接口 信息 


Tip [process-id] 
version 2 | 指定 RP 版 本 2 
指定 与 该 路 由 器 相连 的 网 络 



















network network display rip interface 


假设 有 图 10-22 所 示 的 网 络 拓 扑 结 构 ， 试 通过 配置 RIP 协议 使 全 网 连通 。 


# 配 置 路 由 器 R1 接口 的 人 P 地 址 
[R1] interface gigabitethernet 0/0/1 
[R1-GigabitEthernet0/0/2] ip address 192.168.1.1 24 


GE0/0/2 
172. 16. 1. 2/24 


GE0/0/2 






GE0/0/2 








92. 168. 1. 1/24 10. 1. 1. 1/24 172. 16. 1. 1/24 R4 


图 10-22 ”RIP 协议 配置 拓扑 图 


R2、R3 和 R4 的 配置 与 Rl 的 配置 相似 。 


# 配 置 路 由 器 R1 的 RIP 功能 
[Rl] rip 

[Rl-rip-1] network 192.168.1.0 
[Rl-rip-1] quit 


# 配 置 路 由 器 R2 的 RIP 功能 
[R2] rip 

[R2-rip-1] network 192.168.1.0 
[R2-rip-1] network 10.0.0.0 
[RouterB-rip-1] quit 


# 了 配置 路 由 器 R3 的 RIP 功能 
[R3] mp 

[R3-rip-1] network 10.0.0.0 
[R3-rip-1] network 172.16.0.0 
[R3-rip-1] quit 


# 配 置 路 由 器 R4 的 RIP 功能 
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BR4] mp 
[R4-rip-1] network 172.16.0.0 
[R4-rip-1] quit 


# 查 看 路 由 器 R1 的 RIP 路 由 表 
[R1] display rip 1 route 
Route Flags: R- RIP 
A-Aging, S - Suppressed, G - Garbage-collect 


Peer 192.168.1.2 on GigabitEthernet0/0/1 


Destination/Mask Nexthop Cost Tag Flags Sec 
10.0.0.0/8 192.168.1.2 0 RA 1 
172.16.0.0/16 192.168.1.2 2 0 RA 和 


从 路 由 表 中 可 以 看 出 ，RIP-1 发 布 的 路 由 信息 使 用 的 是 自然 掩 码 。 

分 别 在 路 由 器 RI、R2、R3、R4 配置 RIP-2， 在 路 由 器 R1 上 配置 如 下 ， 其 他 路 由 器 上 配 
置 方法 相同 。 

# 在 路 由 器 R1 上 配置 RIP-2 

[Rl]rip 

[Rl-rip-1] version 2 

[Rl-rip-1] quit 


# 查 看 路 由 器 Rl 的 RIP 路 由 表 
[R1] display rip 1 route 
Route Flags: R - RIP 
A-Aging, S - Suppressed, G - Garbage-collect 


Peer 192.168.1.2 on GigabitEthernet0/0/1 











Destination/Mask Nexthop Cost Tag Flags Sec 
10.1.1.0/24 192.168.1.2 0 RA 4 
172.16.1.0/24 192.168.1.2 2 0 RA 4 





从 路 由 表 中 可 以 看 出 ，RIP-2 发 布 的 路 由 中 带 有 更 为 精确 的 子 网 掩 码 信息 。 
2. RIP 与 BFD 联动 
双向 转发 检测 BFD (Bidirectional Forwarding Detection) 是 一 种 用 于 检测 邻居 路 由 器 之 间 


链 路 故障 的 检测 机 制 ， 它 通常 与 路 由 协议 联动 ， 通 过 快速 感知 链 路 故障 并 通告 使 得 路 由 协议 能 
够 快速 地 重新 收敛 ， 从 而 减少 由 于 拓扑 变化 导致 的 流量 丢失 。 
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假设 有 图 10-23 所 示 的 网 络 拓扑 结构 ,在 网 络 中 有 4 台 路 由 器 通过 RIP 协议 实现 网 络 互通 。 
其 中 业务 流量 经 过 主 链 路 R1---R2---R3 进行 传输 。 要 求 提高 从 R1---R2 数据 转发 的 可 靠 性 ， 当 
主 链 路 发 生 故 障 时 ， 业 务 流量 会 快速 切换 到 另 一 条 路 径 进 行 传输 。 


# 配 置 路 由 器 R1 接口 的 下 地 址 

[R1] interface gigabitethernet 0/0/1 
[R1-GigabitEthernet0/0/1] ip address 192.168.1.2 24 
[R1-GigabitEthernet0/0/1] quit 

[R1] ] interface gigabitethernet 0/0/2 
[R1-GigabitEthernet0/0/2] ip address 192.168.2.2 24 
[R1-GigabitEthernet0/0/2] quit 








GE0/0/0 


72. 16. 1.1/24 < 
NS 6E0/0/2 SR 
GE0/0/1 172.16.1.2/24 SS 


192. 168. 3. 1/24 





GE0/0/1 
192. 168. 1. 2/24 R22 






















GE0/0/2 
192. 168. 2. 2/24 


GE0/0/2 
192. 168. 3.2/24 






192. 168. 2. 1/24 `® 
/4 a 


R4 


图 10-23 RIP 协议 配置 拓扑 图 


# 配 置 路 由 器 Rl 的 RIP 的 基本 功能 
[Rl]Jnip1l 

[Rl-rip-1] version 2 

[Rl-rip-1] network 192.168.1.0 
[Rl-rip-1] network 192.168.2.0 
[Rl1-rip-1] quit 


路 由 器 R2、R3 和 R4 的 配置 与 路 由 器 Rl 相似 。 


# 查 看 路 由 器 R1、R2 以 及 路 由 器 R4 之 间 已 经 建立 的 邻居 关系 ， 以 路 由 器 R1 的 显示 为 例 
[Rl1l]dis rip 1 neighbor 


192.168.1.1 GigabitEthernet0/0/1 RIP 0:0:20 
Number of RIProutes :1 


Eg 
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192.168.2.1 GigabitEthernet0/0/2 RIP 0:0:12 
Number of RIProutes :1 


# 查 看 完成 配置 的 路 由 器 之 间 互 相 引 入 的 路 由 信息 ， 以 路 由 器 R1 的 显示 为 例 
Route Flags: R - relay, D - download to fib 





Routing Tables: Public 


192.168.3.0/24 RIP 100 192.168.1.1 GigabitEthernet0/0/1 
192.168.2.1 GigabitEthernet0/0/2 


127.0.0.1 InLoopBack0 


Destinations : 12 Routes : 13 
Destination/Mask 。 Proto Pre Cost Flags NextHop Interface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 
172.16.1.0/24 RIP 100 1 D 192.168.1.1 GigabitEthernet0/0/1 
192.168.1.0/24 Direct 0 0 D 192.168.12 GigabitEthernet0/0/1 
192.168.1.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 
192.168.2.0/24 Direct 0 0 D 192.168.2.2 GigabitEthernet0/0/2 
192.168.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
192.168.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2 
1 D 
1 D 
0 D 


255.255.255.255/32 Direct 0 


由 路 由 表 看 到 去 往 目 的 地 172.16.1.0/24 的 下 一 跳 地 址 是 192.168.1.1， 接 口 是 
GigabitEthernet0/0/1， 流 量 在 主 链 路 路 由 器 R1---R2 上 进行 传输 。 


# 配 置 路 由 器 Rl1 上 所 有 接口 的 BFD 特性 

[R1] bfd 

[R1-bfd] quit 

[Rl]ripl 

[R1-rip-1] bfd all-interfaces enable /启用 bfd 功能 ， 并 配置 最 小 发 送 、 时 间 间 隔 和 检测 时 间 倍 数 等 
[R1-rip-1] bfd all-interfaces min-rx-interval 100 min-tx-interval 100 detect-multiplier 10 

[Rl-rip-1] quit 


R2 的 配置 与 此 相似 。 


# 完 成 上 述 配置 之 后 ， 在 路 由 器 Rl1 上 执行 命令 display rip bfda session 看 到 路 由 器 R1 与 R2 之 间 已 经 
建立 起 BFD 会 话 ，BFDState 字段 显示 为 Up， 以 路 由 器 R1 的 显示 为 例 
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[R1]dis rip 1 bfd session all 
Locallp :192.168.1.2 RemoteIp :192.168.1.1 BFDState :Up 
TX :100 RX :100 Multiplier:10 
BFD Local Dis :8192 TInterface :GigabitEthernet0/0/1 
Diagnostic Info:No diagnostic information 
Locallp :192.168.2.2 RemoteIp :192.168.2.1 BFDState :Down 
TX :10000 RX :10000 Maultiplier:0 
BFD Local Dis :8193 Interface :GigabitEthermet0/0/2 
Diagnostic Info:No diagnostic information 

验 查 配置 结果 : 


# 在 路 由 器 R2 的 接口 GigabitEthemet2/0/0 上 执行 shutdown 命令 ， 模 拟 链 路 故障 
[R2] interface gigabitethernet 0/0/2 

[R2-GigabitEthernet0/0/2] shutdown 

# 查 看 R1 的 BFD 会 话 信息 ， 可 以 看 到 路 由 器 R1 及 R2 之 间 不 存在 BFD 会 话 信息 


[R1]dis rip 1 bfd session all 


LocalIp :192.168.2.2 RemoteIp :192.168.2.1 BFDState :Down 
TX :10000 RX :10000 Multiplier:0 
BFD Local Dis :8193 Interface :GigabitEthermet0/0/2 


Diagnostic Info:No diagnostic information 


# 查 看 R1 的 路 由 表 
[R1]dis ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 9 Routes:9 
Destination/Mask Proto Pre Cost Flags NextHop nterface 
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 
127.0.0.1/32 Direct 0 127.0.0.1 InLoopBack0 
127.255.255.255/32 Direct 0 127.0.0.1 InLoopBack0 


172.16.1.0/24 RIP 100 
192.168.2.0/24 Direct 0 
192.168.2.2/32 Direct 0 


192.168.2.1 GigabitEthernet0/0/2 
192.168.2.2 GigabitEthernet0/0/2 
127.0.0.1 GigabitEthernet0/0/2 


名 章 . 避 :本 三 
DODUOD 


4 


网 络 工程 师 教程 (第 5 版 


192.168.2.255/32 Direct 0 0 
192.168.3.0/24 RIP 100 1 
255.255.255.255/32 Direct 0 0 








D 127.0.0.1 GigabitEthermet0/0/2 
D 192.168.2.1 GigabitEthernet0/0/2 
D 127.0.0.1 InLoopBack0 


由 路 由 表 可 以 看 出 ， 在 主 链 路 发 生 故障 之 后 备份 链 路 R1---R4---R2 被 启用 ， 去 往 








172.16.1.0/24 的 路 由 下 一 跳 地 址 是 192.168.2. 


10.4.2 ”配置 IS-IS 协议 


1， 出 接口 为 GigabitEthernet0/0/2。 


中 间 系 统 到 中 间 系 统 IS-IS (Intermediate System to Intermediate System) 属于 内 部 网 关 协 议 
IGP (Interior Gateway Protocol)， 用 于 自治 系统 内 部 。 为 了 支持 大 规模 的 路 由 网 络 ，IS-IS 在 自 
治 系统 内 采用 骨干 区 域 与 非 骨干 区 域 两 级 的 分 层 结 构 。 一 般 来 说 ， 将 Level-1 路 由 器 部 署 在 非 
骨干 区 域 ，Level-2 路 由 器 和 Level-1-2 路 由 器 部 署 在 骨干 区 域 。 每 一 个 非 骨 干 区 域 都 通过 


Level-1-2 路 由 器 与 骨干 区 域 相连 。 

















IS-IS 是 一 种 链 路 状态 路 由 协议 ， 每 一 台 路 由 器 都 会 生成 一 个 LSP， 它 包含 了 该 路 由 器 所 


有 启用 IS-IS 协议 接口 的 链 路 状态 信息 。 通 过 跟 相 邻 设备 建立 IS-IS 邻接 关系 ， 互 相 更 新 本 地 设 
备 的 LSDB, 可 以 使 得 LSDB 与 整个 IS-IS 网 络 的 其 他 设备 的 LSDB 实现 同步 。 然 后 根据 LSDB 
运用 SPF 算法 计算 出 IS-IS 路 由 。 如果 此 IS-IS 路 由 是 到 目的 地 址 的 最 优 路 由 , 则 此 路 由 会 下 发 


到 了 正路 由 表 中 ， 并 指导 报 文 的 转发 。 
其 相关 命令 如 表 10-3 所 示 。 


表 10-3 IS-IS 的 相关 命令 


创 


isis [ process-id ] 


功 能 
建 IS-IS 进程 并 进入 IS-IS 视图 





设 
为 


isis circuit-level[level-l|level-1-2|level-2] 


置 接口 的 Level 级 别 ， 默 认 情况 下 ， 接 口 的 Level 级 别 
level-1-2 





network-entity met 设 


置 网 络 实体 名 称 





net 


是 


指 


isis enable[process-id] 


格式 为 X…X.XXXX.XXXX.XXXX.00， 前 面 的 “X*…X” 





区 域 地 址 ， 中 间 的 12 个 “X” 是 路 由 器 的 System ID， 


最 后 的 “00” 是 SEL 


定 IS-IS 的 进程 号 , 默认 为 1, IS-IS 将 通过 该 接口 建立 


邻居 、 扩 散 LSP 报 文 





display isis peer 


查看 IS-IS 的 邻居 信息 








display isis route 


查看 IS-IS 的 路 由 信息 
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参照 图 10-24 给 出 一 个 IGRP 协议 配置 的 综合 实例 ， 现 网 中 有 4 台 路 由 器 。 要 求 这 4 台 路 
由 器 实现 网 络 互联 ,并 且 因为 Rl1 和 R2 性 能 相对 较 低 ， 要 求 这 两 台 路 由 器 处 理 相对 较 少 的 数据 
信息 。 























IS-IS | 
Area20 
SEN 
| GE1/0/0 
| 172. 16. 30. 2/24 
GE1/0/0 | GE1/0/0 


59. 74. 112. 2/24 172. 16. 30. 1/24 


GE2/0/0 | 
172. 16. 10. 1/24 | 


GE1/0/0 
172. 16. 10.2/24 站 
SEN 


， 6pz/oO/OSS 
1172.16.60.1/24 LL2 








图 10-24 IS-IS 协议 配置 拓扑 图 


# 配 置 Rl 器 接口 的 下 地址 ，R2、R3 和 R4 的 配置 与 Rl 一致 
[R1] interface gigabitethernet 1/0/0 

[R1-GigabitEthernet1/0/0] ip address 10.1.1.2 24 
[R1-GigabitEthernet1/0/0] quit 


# 配 置 Rl 的 IS-IS 基本 功能 ，R2、R3 和 R4 的 配置 与 Rl 相似 
[R1] isis 1 

[Rl-isis-1] is-level level-1 

[R1l-isis-1] network-entity 10.0000.0000.0001.00 

[Rl1-isis-1] quit 

[R1] interface gigabitethernet 1/0/0 

[R1-GigabitEthernet1/0/0] isis enable 1 

[R1-GigabitEthemet1/0/0] quit 


检查 配置 结果 。 


# 显示 各 Router 的 IS-IS LSDB 信息 ， 查 看 LSDB 是 否 同步 ， 例 如 检查 Rl 的 信息 命令 如 下 
[R1] display isis lsdb 
Database information for ISIS(1) 


Level-1 Link State Database 
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LSPID Seq Num Checksum Holdtime Length ATT/P/OL 
0000.0000.0001.00-00* 0x00000006 Oxbf7d 649 68 0/0/0 
0000.0000.0001.01-00* 0x00000002 Oxcfbb 1157 3 0/0/0 
0000.0000.0002.00-00 ”0x00000003 Oxef4d 545 68 0/0/0 
0000.0000.0003.00-00 0x00000008 0x3340 582 111 1/0/0 


Total LSP(s): 4 


*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
ATT-Attached, P-Partition, OL-Overload 


# 显示 各 路 由 器 的 IS-IS 路 由 信息 。Level-1 路 由 器 的 路 由 表 中 应 该 有 一 条 默认 路 由 ， 且 下 一 跳 为 
Level-1-2 路 由 器 ，Level-2 路 由 器 应 该 有 所 有 Level-1 和 Level-2 的 路 由 , 例如 检查 R1 的 命令 如 下 


[R1] display isis route 
Route information for ISIS(1) 
ISIS(1) Level-1 Forwarding Table 
IPV4 Destination IntCost ExtCost Exitmterface NextHop Flags 
172.16.30.0/24 10 NULL GE1/0/0 Direct D/-/L/- 
172.16.10.0/24 20 NULL GE1/0/0 172.16.30.1 A/-/-/- 
159.74.112.0/24 20 NULL GE1/0/0 172.16.30.1 A/-/-/- 
0.0.0.0/0 10 NULL GE1/0/0 172.16.30.1 A/-/-/- 
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shorteut, 


U-Up/Down Bit Set 


经 过 检查 LSDB 同步 ， 并 且 R1 与 R2 的 路 由 条 目 较 少 。 说 明 网 络 互通 且 Rl1 和 R2 承担 较 
少 信息 。 


10.4.3 配置 OSPF 协议 


开放 最 短路 径 优先 协议 是 重要 的 路 由 选择 协议 ， 它 是 一 种 链 路 状态 路 由 选择 协议 ， 是 由 
Jnternet 工程 任务 组 开发 的 内 部 网 关 路 由 协议 ， 用 于 在 单一 自治 系统 内 决策 路 由 。 

链 路 是 路 由 器 接口 的 另 一 种 说 法 ,因此 ，OSPF 也 称 为 接口 状态 路 由 协议 。OSPF 通过 路 由 
器 之 间 通 告 网 络 接口 的 状态 来 建立 链 路 状态 数据 库 ， 生 成 最 短路 径 树 ， 每 个 OSPF 路 由 器 使 用 
这 些 最 短路 径 构造 路 由 表 。 下 面 分 别 介绍 OSPF 协议 的 相关 要 点 。 
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(1) 自治 系统 。 自 治 系统 包括 一 个 单独 管理 实体 下 所 控制 的 一 组 路 由 器 ，OSPF 是 内 部 网 
关 路 由 协议 ， 工 作 于 自治 系统 内 部 。 

(2) 链 路 状态 。 所 谓 链 路 状态 ， 是 指 路 由 器 接口 的 状态 ， 例 如 Up、Down、 卫 地址 、 网 络 
类 型 、 链 路 开销 以 及 路 由 器 和 它 邻 接 路 由 器 间 的 关系 。 链 路 状态 信息 通过 链 路 状态 通告 (Link 
State Advertisement，LSA) 扩散 到 网 络 上 的 每 台 路 由 器 ,每 台 路 由 器 根据 LSA 信息 建立 一 个 关 
于 网 络 的 拓扑 数据 库 。 

(3) 最 短路 径 优先 算法 。OSPF 协议 使 用 最 短路 径 优先 算法 ， 利 用 从 LSA 通告 得 来 的 信息 
计算 到 达 每 一 个 目标 网 络 的 最 短路 径 ， 以 自身 为 根 生 成 一 棵 树 ， 包 含 了 到 达 每 个 目的 网 络 的 完 

(4) 路 由 器 标识 。OSPF 的 路 由 标识 是 一 个 32 位 的 数字 ， 它 在 自治 系统 中 被 用 来 唯一 地 识 
别 路 由 器 。 默 认 使 用 最 高 回 送 地 址 ， 若 回 送 地 址 没有 被 配置 ， 则 使 用 物理 接口 上 最 高 的 他 地 址 
作为 路 由 器 标识 。 

(5) 邻居 和 邻接 。OSPF 在 相 邻 路 由 器 间 建 立 邻接 关系 ， 使 它们 交换 路 由 信息 。 邻 居 是 指 
共享 同一 网 络 的 路 由 器 ， 并 使 用 Hello 包 来 建立 和 维护 邻居 路 由 器 间 的 邻接 关系 。 

(6) 区 域 。 在 OSPF 网 络 中 使 用 区 域 (Area) 为 自治 系统 分 段 。OSPF 是 一 种 层次 化 的 路 
由 选择 协议 ， 区 域 0 是 一 个 OSPF 网 络 中 必须 具有 的 区 域 ， 也 称 为 主干 区 域 ， 其 他 所 有 区 域 要 
求 通过 区 域 0 互 连 到 一 起 。 

其 相关 命令 及 说 明 如 表 10-4 所 示 , 设计 图 10-25 所 示 的 网 络 拓扑 结构 图 来 配置 OSPF 协议 。 
































# 配 置 Rl 路 由 器 接口 的 下 地 址 

<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface gigabitethernet 0/0/1 
[R1-GigabitEthernet0/0/1] ip address 192.168.1.1 24 
[R1-GigabitEthernet0/0/1] quit 

[R1] interface gigabitethernet 0/0/2 
[R1-GigabitEthernet0/0/2] ip address 192.168.2.1 24 
[R1-GigabitEthernet0/0/2] quit 


# 在 路 由 器 RI 上 配置 OSPF 基本 功能 

[Rl] router id 1.1.1.1 

[R1] ospf 

[R1-ospf-1] area 0 

[R1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.0] quit 
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[R1-ospf-1] area 1 

[R1-ospf-1-area-0.0.0.1] network 192.168.2.0 0.0.0.255 
[R1-ospf-1-area-0.0.0.1] quit 

[R1-ospf-1] quit 


表 10-4 ”OSPF 的 相关 命令 


命 令 功 能 





启动 OSPF 进程 ， 进 入 OSPF 视图 
创建 并 进入 OSPF 区 域 视图 
配置 区 域 所 包含 的 网 段 


ospflprocess-idlrouter-id rozxter-idlvpn-instance vpn-instance-name] 
area area-id 


network ip-address wildcard-mask 











display ospf peer 查看 OSPF 邻居 信息 
display ospf routing 查看 OSPF 路 由 信息 
R1 
cE0/0/2 / TF ceo/0/2 
192. 168. 2. 4 2. 168. 4. 1/24 
RB 
GE0/0, GED/0/2 
192. 168. 3 192. 168. 5. 1/24 


图 10-25 ”OSPF 协议 配置 实例 图 


# 路 由 器 R2、R3、R4、R5 和 R6 路 由 器 的 配置 与 Rl 相似 


# 在 路 由 器 Rl1 上 查看 路 由 表 


<R1>dis ip rout 
Route Flags: R - relay, D - download to fib 





Routing Tables: Public 


Destinations : 13 Routes : 13 


Destination/Mask 
127.0.0.0/8 
127.0.0.1/32 

127.255.255.255/32 

192.168.1.0/24 
192.168.1.1/32 
192.168.1.255/32 
192.168.2.0/24 
192.168.2.1/32 
192.168.2.255/32 
192.168.3.0/24 
192.168.4.0/24 
192.168.5.0/24 
255.255.255.255/32 


Proto 

Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
Direct 
OSPF 
OSPF 
OSPF 


Direct 


Pre 


© oo oo So So ooc 


S 


S 


0 


Cost Flags 
0 D 
0 D 
0 D 
0 D 
0 D 
0 D 
0 D 
0 D 
0 D 
2 D 
2 D 
3 D 
0 D 


NextHop 
127.0.0.1 
127.0.0.1 
127.0.0.1 
192.168.1.1 
127.0.0.1 
127.0.0.1 
192.168.2.1 
127.0.0.1 
127.0.0.1 
192.168.2.2 
192.168.1.2 
192.168.1.2 
127.0.0.1 
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Interface 
InLoopBack0 
InLoopBack0 
InLoopBack0 
GigabitEthernet0/0/1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/1 
GigabitEthernet0/0/2 
GigabitEthernet0/0/2 
GigabitEthernet0/0/2 
GigabitEthermet0/0/2 
GigabitEthernet0/0/1 
GigabitEthermet0/0/1 
InLoopBack0 


从 路 由 器 Rl 的 路 由 表 上 可 以 看 出 ， 已 经 学 到 了 全 部 的 路 由 。 


# 在 路 由 器 RS 与 路 由 器 R6 之 间 的 连通 性 ， 在 带 R5 源 地 址 ping 命令 测试 
<R5>ping -a 192.168.3.2 192.168.5.2 
PING 192.168.5.2: 56 data bytes, press CTRL _C to break 
Reply from 192.168.5.2: bytes=56 Sequence=] ttl=251 time=30 ms 
Reply from 192.168.5.2: bytes=56 Sequence=2 ttl=251 time=50 ms 
Reply from 192.168.5.2: bytes=56 Sequence=3 ttl=251 time=40 ms 
Reply from 192.168.5.2: bytes=56 Sequence=4 ttl=251 time=30 ms 
Reply from 192.168.5.2: bytes=56 Sequence=5 ttl=251 time=40 ms 


--- 192.168.5.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 


round-trip min/avg/max = 30/38/50 ms 


# 查 看 路 由 器 Rl 的 OSPF 邻居 
<R1> display ospf peer 


OSPF Process 1 with Router ID 1.1.1.1 


Neighbors 
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Area 0.0.0.0 interface 192.168.1.1(GigabitEthernet0/0/1)'s neighbors 
Router ID: 2.2.2.2 Address: 192.168.1.2 

State: Full Mode:Nbris Master Priority: 1 

DR: 192.168.1.1 BDR: 192.168.1.2 MTU:0 

Dead timer due in 32 sec 

Retrans timer interval: 5 

Neighbor is up for 01:06:23 

Authentication Sequence: [ 0] 


Neighbors 
Area 0.0.0.1 interface 192.168.2.1(GigabitEthernet0/0/2)'s neighbors 
Router ID: 3.3.3.3 Address: 192.168.2.2 


State: Full Mode:Nbris Master Priority: 1 
DR: 192.168.2.1 BDR: 192.168.2.2 MTU:0 
Dead timer due in 28 sec 

Retrans timer interval: 5 


# 显 示 路 由 器 R1 的 OSPF 路 由 信息 


<R1>display ospf routing 
OSPF Process 1 with Router ID 1.1.1.1 
Routing Tables 

Routing for Network 

Destination Cost Type NextHop AdvRouter 
192.168.1.0/24 1 Transit 192.168.1.1 L111 
192.168.2.0/24 1 Transit 192.168.2.1 1.1.1.1 
192.168.3.0/24 2 Transit 192.168.2.2 3.33 
192.168.4.0/24 4 Inter-area 192.168.1.2 2 
192.168.5.0/24 3 Inter-area 192.168.1.2 2222 


Total Nets: 5 
Intra Area:3 Inter Area:2 ASE:0 NSSA:0 


10.4.4 配置 BGP 协议 


Area 
0.0.0.0 
0.0.0.1 
0.0.0.1 
0.0.0.0 
0.0.0.0 


边界 网 关 协 议 BGP (Border Gateway Protocol) 是 一 种 实现 自治 系统 AS (Autonomous 


System) 之 间 的 路 由 可 达 ， 并 选择 最 佳 路 由 的 距离 矢量 路 由 协议 。 它 具有 以 下 特点 。 


(1) 实现 自治 系统 间 通 信 网 络 的 信息 可 达 ，BGP 允许 一 个 AS 向 其 他 AS 通告 其 内 部 网 络 


的 可 达 性 信息 ， 或 者 是 通过 该 AS 可 达 的 其 他 网 络 的 路 由 信息 。 





(2) 多 个 BGP 路 由 器 之 间 的 协调 ， 如 果 在 一 个 自治 系统 内 部 有 多 个 路 由 器 分 别 使 用 BGP 
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与 其 他 自治 系统 中 对 等 路 由 器 进行 通信 ， 则 通过 协调 使 这 些 路 由 器 保持 路 由 信息 的 一 致 性 。 

(3) BGP 支持 基于 策略 的 路 径 选择 ， 可 以 为 域内 和 域 间 的 网 络 可 达 性 配置 不 同 的 策略 。 

(4) BGP 只 需要 在 启动 时 交换 一 次 完整 信息 ， 不 需要 在 所 有 路 由 更 新 报 文中 传送 完整 的 
路 由 数据 库 信 息 ， 后 续 的 路 由 更 新 报 文 只 通告 网 络 的 变化 信息 ， 避 免 网 络 变化 使 得 信息 量 大 幅 
增加 。 

(5) 在 BGP 通告 目的 网 络 的 可 达 性 信息 时 ， 除 了 处 理 指定 目的 网 络 的 下 一 跳 信息 之 外 ， 
通告 中 还 包括 了 通路 向 量 ， 即 去 往 该 目的 网 络 时 需要 经 过 的 AS 的 列表 ， 使 接受 者 能 够 清楚 了 
解 去 往 目 的 网 络 的 通路 信息 。 

除了 以 上 这 些 ，BGP 允许 发 送 方 把 路 由 信息 聚集 在 一 起 , 用 一 个 条 目 来 表示 多 个 相关 的 目 
的 网 络 ， 以 节约 网 络 带 宽 。 人 允许 接收 方 对 报 文 进 行 鉴别 ， 以 验证 发 送 方 的 身份 等 多 个 特点 。 

BGP 在 不 同 自治 系统 (AS) 之 间 进 行路 由 转发 ， 分 为 EBGP 和 IBGP 两 种 情况 。EBGP 外 
部 边界 网 关 协 议 ， 用 于 在 不 同 的 自治 系统 间 交 换 路 由 信息 。IBGP 内 部 边界 网 关 协 议 ， 用 于 向 
内 部 路 由 器 提供 更 多 信息 。 

其 相关 命令 及 说 明 如 表 10-5 所 示 ， 参 照 图 10-26 所 示 的 网 络 拓扑 图 配置 BGP 协议 使 全 网 
连通 ，R1、R2 之 间 建 立 EBGP 连接 ，R2、R3 和 R4 之 间 建 立 IBGP 连接 。 

# 配 置 各 接口 的 他 地 址 ， 配 置 R1I， 其 他 路 由 器 各 接口 的 了 P 地 址 与 此 配置 一 致 
<R1> system-view 
[R1] interface gigabitethernet 1/0/0 


[R1-GigabitEthernet1/0/0] ip address 172.16.60.1 
[Rl1-GigabitEthernet1/0/0] quit 
































# 配 置 IBGP 连接 ， 配 置 R2、R3、R4 
[R2] bgp 65009 

[R2-bgp] router-id 2.2.2.2 

[R2-bgp] peer 9.1.1.2 as-number 65009 
[R2-bgp] peer 9.1.3.2 as-number 65009 


[R3] bgp 65009 

[R3-bgp] router-id 3.3.3.3 

[R3-bgp] peer 9.1.3.1 as-number 65009 
[R3-bgp] peer 9.1.2.2 as-number 65009 
[R3-bgp] quit 


表 10-5 BGP 的 相关 命令 


命 令 功 能 
bgp{as-number-plainlas-number-dot} 启动 BGP， 指 定 本 地 AS 编号 ， 并 进入 BGP 视图 


router-id ipv4-address 配置 BGP 的 Router ID 
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续 表 
命令 功 能 
CA 创建 BGP 对 等 体 
number-plainlas-number-dot} 
ipv4-family {unicastlmulticast} 进入 IPv4 地 址 族 视图 





管理 IP 所 在 的 网 段 路 由 ， 并 引入 RIP 路 由 表 





import-route direct 











172. 16. 30.2/24 R3 | 
GE2/0/0 


ey | 
6E3/0/0 172. 16. 20. 1/24 | 


GE2/0/0 10 1 
59.74. 112. 2/24 














GE2/0/0 


R1 74.112.1/2 


GE1/0/0 
172. 16. 60. 1/24 





GE1/0/0 
172. 16. 10. 2/2 





图 10-26 ”BGP 网 络 实例 图 


[R4] bgp 65009 
[R4-bgp] router-id 4.4.4.4 
[R4-bgp] peer 9.1.1.1 as-number 65009 
[R4-bgp] peer 9.1.2.1 as-number 65009 
[R4-bgp] quit 


# 配 置 EBGP 连接 ， 配 置 R1I、R2 

[R1] bgp 65008 

[Rl1-bgp] router-id 1.1.1.1 

[Rl1-bgp] peer 59.74.112.1 as-number 65009 





[R2-bgp] peer 59.74.112.2 as-number 65008 


# 查 看 BGP 对 等 体 的 连接 状态 
[R2-bgp] display bgp peer 
BGP local router ID : 2.2.2.2 
Local AS number : 65009 
Total number of peers : 3 了 Peers in established state : 3 
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Peer AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 
172.16.10.2 4 65009 49 62 0 00:44:58 Established 0 
172.16.30.2 465009 56 56 0 00:40:54 Established 0 
59.74.112.2 465008 49 65 0 00:44:03 Established 1 
可 以 看 出 ，RouterB 到 其 他 路 由 器 的 BGP 连接 均 已 建立 。 

















# 配 置 R1 发 布 路 由 172.16.60.0/24 
[Rl1-bgp] ipv4-family unicast 


[R1-bgp-af-ipv4] network 172.16.60.0 255.255.255.0 


[R1-bgp-af-ipv4] quit 


# 查 看 R1 路 由 表 信息 
[Rl1-bgp] display bgp routing-table 
BGP Local router IDis 1.1.1.1 


Status codes: * - valid, > - best, d - damped, 


h - history, 


Total Number of Routes: 1 
Network 
*> 172.16.60.0 


# 查 看 R2 的 路 由 表 
[R2-bgp] display bgp routing-table 
BGP Local router ID is 2.2.2.2 


NextHop 
0.0.0.0 


i- internal, s - suppressed, S - Stale 
Origin :1-IGPe- 


EG?P, ? - incomplete 


MED LocPrf 。 PrefVal 
0 0 


Status codes: * - valid, > - best, d - damped, 


h - history, 


Total Number of Routes: 1 
Network 
*#> 172.16.60.0 


# 查 看 R3 的 路 由 表 
[R3] display bgp routing-table 
BGP Local router ID is 3.3.3.3 


NextHop 
59.74.112.2 0 0 


1- internal, s - suppressed, S - Stale 
Origin :i- IGP,e- 


EGP, ? - incomplete 


MED LocPrf PrefVal 


Status codes: * - valid, > - best, d - damped. 


h - history, 


Total Number of Routes: 1 
Network 
1 172.16.60.0 


NextHop 
59.74.112.2 0 


i- internal, s - suppressed, S - Stale 
Origin :1-IGPe- 


EGP, ? - incomplete 


MED 


Path/Ogn 


Path/Ogn 
65008i 


7 
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从 路 由 表 可 以 看 出 ，R3 虽然 学 到 了 AS65008 中 的 172.16.60.0 的 路 由 ， 但 因为 下 一 跳 
59.74.112.2 不 可 达 ， 所 以 不 是 有 效 路 由 。 


# 配置 BGP 引入 直 连 路 由 ， 配 置 R2 
[R2-bgp] ipv4-family unicast 
[R2-bgp-af-ipv4] import-route direct 

















# 查 看 R1 的 BGP 路 由 表 
[R1-bsgp] display bgp routing-table 
BGP Local router ID is 1.1.1.1 
Status codes: * - valid, > - best, d - damped, 
h-history, i-internal, s - suppressed,S - Stale 
Origin : 1- IGP e - EGP., ? - incomplete 
Total Number of Routes: 4 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 172.16.60.0 0.0.0.0 0 0 1 
*> ”172.16.10.0/24 59.74.112.1 0 0 65009? 
*> ”172.16.30.0/24 59.74.112.1 0 0 65009? 
59.74.112.0 59.74.112.1 0 0 65009? 


# 查 看 R3 的 路 由 表 
[R3] display bgp routing-table 
BGP Local router ID is 3.3.3.3 
Status codes: * - valid, > - best, d - damped, 
h - history，i- internal, s - suppressed,S - Stale 
Origin : 1- IJGP e - EGP, ? - incomplete 
Total Number of Routes: 4 

















Network NextHop MED LocPrf PrefVal Path/Ogn 
*>1 172.16.60.0 59.74.112.2 0 100 0 650081 
*>1 172.16.10.0/24 172.16.30.1 0 100 0 ? 
i 172.16.30.0/24 172.16.30.1 0 100 0 和 
*>1 59.74.112.0 172.16.30.1 0 100 0 ? 
可 以 看 出 ， 到 172.16.60.0 的 路 由 变 为 有 效 路 由 ， 下 一 跳 为 Rl 的 地 址 。 
# 使 用 Ping 进行 网 络 联通 性 检查 


[R3] ping 172.16.60.1 
PING 172.16.60.1: 56 data bytes, press CTRL C to break 
Reply from 172.16.60.1: bytes=56 Sequence=l ttl=254 time=23ms 


第 10 章 组 网 技术 


Reply from 172.16.60.1: bytes=56 Sequence=2 ttl=254 time=56ms 
Reply from 172.16.60.1: bytes=56 Sequence=3 ttl=254 time=36ms 
Reply from 172.16.60.1: bytes=56 Sequence=4 ttt=254 time=14ms 
Reply from 172.16.60.1: bytes=56 Sequence=5 ttl=254 time=46ms 


---172.16.60.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 14/35/56 ms 


10.5 ”配置 广域网 接 入 


如 果 要 将 网 络 与 其 他 远程 网 络 连 接 起 来 ， 有 时 要 用 到 广域网 (WAN) 接 入 服务 。 本 节 结 合 
具体 的 PPP、 帧 中 继 FR 和 ISDN BRI 连接 接 入 实例 来 学 习 广 域 网 接 入 的 配置 方法 和 技巧 。 


10.5.1 配置 PPP 和 DCC 


点 对 点 协议 是 作为 在 点 对 点 链 路 上 进行 P 通信 的 封装 协议 而 被 开发 出 来 的 。PPP 定义 了 
全 地 址 的 分 配 和 管理 、 异 步 和 面向 位 的 同步 封装 、 网 络 协议 复 用 、 链 路 配置 、 链 路 质量 测试 和 
错误 检测 等 标准 ， 以 及 网 络 层 地 址 协议 和 数据 压缩 协议 等 协议 标准 。PPP 通过 可 扩展 的 链 路 协 
议和 网 络 控制 协议 (NCP) 来 实现 上 述 功能 。 

PPP 具有 多 协议 支持 的 特点 ， 可 以 支持 耳 、IPX 和 DECnet 等 第 三 层 协议 。PPP 提供 了 安 
全 认证 机 制 ， 这 主要 是 通过 PAP (口令 认证 协议 ) 和 CHAP (挑战 握手 协议 ) 来 实现 的 。PAP 
和 CHAP 被 用 来 认证 是 否 允 许 对 端 设备 进行 拨号 连接 。 

多 链 路 PPP 是 PPP 的 另 一 项 功能 , 它 允 许 在 路 由 器 和 路 由 器 之 间或 路 由 器 和 拨号 的 PC 之 
间 建 立 多 条 链 路 , 通信 量 在 这 些 链 路 之 间 进 行 负载 均衡 , 从 而 提高 了 可 用 带宽 和 链 路 的 可 靠 性 。 

按 需 拨号 路 由 (Dial Control Center，DCC) 是 利用 拨号 链 路 实现 网 络 间 互 连 的 一 种 常用 
技术 。 其 主要 功能 是 将 数据 包 从 被 拨号 的 接口 进行 路 由 ; 决定 何 种 数据 包 可 以 触发 拨号 ;触发 
拨号 ; 决定 什么 时 候 终 止 连接 。DCC 技术 和 PPP 技术 一 样 对 于 ISDN 的 配置 是 非常 重要 的 , 在 
实际 应 用 中 ISDN、PPP 和 DCC 这 三 项 技术 经 常 综合 使 用 。 

下 面 结合 实例 来 研究 PPP 认证 、DCC 技术 的 配置 ， 更 深入 地 了 解 拨号 网 络 的 配置 技能 。 

结合 图 10-27 所 示 的 拓扑 结构 配置 路 由 器 Rl1 和 R2， 实 现 从 总 部 到 分 支 机 构 的 网 络 连通 ， 
同时 提供 拨号 连接 的 安全 性 。 


a 


so 让 


网 络 工程 师 教程 (第 5 版 ) 


MP-Group0/0/1 








图 10-27 


多 链 路 PPP 组 网 图 
相关 命令 及 说 明 如 表 10-6 所 示 。 
表 10-6 PPP 的 相关 配置 命令 
命 令 


interface mp-group 
local-user user-name password 
local-user user-name service-type ppp 


PPP authentication-mode {chaplpap}[ [ call-in ] domain domain-name ] 


authentication-scheme scheme-name 
domain domain-name 


ppp chap user username 


ppp mp mp-group number 


# 在 R1 上 创建 并 配置 多 链 路 MP-Group 
<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface mp-group 0/0/1 
[R1-Mp-group0/0/1] ip address 10.10.10.9 30 
[R1-Mp-group0/0/1] quit 


Seriall/0/1 


MP-Group0/0/1 
10. 10. 10. 10/30 
Seriall/0/0@ 


功 能 
创建 MP-Group 接口 并 进入 
MP-Group 接口 视图 
创建 本 地 账号 ， 并 配置 本 地 账号 
的 登录 密码 
配置 本 地 用 户 使 用 的 服务 类 型 为 
PPP 
配置 本 端 设备 对 对 端 设备 的 认证 
方式 
建立 认证 方案 
配置 默认 域 
配置 采用 CHAP 认证 时 认证 方 的 
用 户 名 
物理 接口 加 入 指定 的 组 


# 配 置物 理 接口 Seriall/0/0、Seriall/0/1 加 入 MP-Group， 并 配置 接口 采用 CHAP 认证 , 配置 设备 双向 
认证 方 时 需要 配置 的 本 地 用 户 和 作为 被 认证 方 时 需要 的 CHAP 认证 用 户 名 和 密码 


[R1] aaa 
[R1-aaa] local-user userb password 


Please configure the login password (8-128) 


It is recommended that the password consist of at least 2 types of characters, including lowercase letters, 
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Uppercase letters, numerals and special characters. 
了 Please enter password: 
了 Please confirm password: 
Info: Add a new user. 
Warning: The new user supports all access modes. The management user access modes such as Telnet, SSH, 
FTP, HITP, and Terminal have security risks. You are advised to configure the required access modes only. 
[R1-aaa] local-user userb service-type ppp 
[R1-aaal] authentication-scheme system a 
[R1-aaa-authen-system a] authentication-mode local 
[R1-aaa-authen-system al] quit 
[Rl1-aaa] domain system 
[Rl1-aaa-domain-system] authentication-scheme system a 
[Rl1-aaa-domain-system] quit 
[R1-aaal] quit 
[R1] interface serial 1/0/0 
[R1-Seriall/0/0] ppp authentication-mode chap domain system 
[R1-Seriall/0/0] ppp chap user usera 
[R1-Seriall/0/0] ppp chap password cipher usera@123 
[R1-Seriall/0/0] ppp mp mp-group 0/0/1 
[R1-Seriall/0/0] quit 
[R1] interface serial 1/0/1 
[R1-Seriall/0/1] ppp authentication-mode chap domain system 
[R1-Seriall/0/1] ppp chap user usera 
[R1-Seriall/0/1] ppp chap password cipher usera@123 
[R1-Seriall/0/1] ppp mp mp-group 0/0/1 
[R1-Seriall/0/1] quit 


# 为 了 保证 配置 生效 ， 重 启 RouterA 上 的 MP 成 员 接口 
[R1] interface serial 1/0/0 
[R1-Seriall/0/0] restart 
[R1-Seriall/0/0] quit 
[R1] interface serial 1/0/1 
[R1-Seriall/0/1] restart 
[R1-Seriall/0/1] quit 


# 在 RouterA 上 执行 命令 display ppp mp 查看 绑 定 效果 
[R1] display ppp mp interface Mp-group 0/0/1 
Mp-group is Mp-group0/0/1 


国医 
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一 一 Sublinks status begio 一 一 
Seriall/0/0 physical UPprotocol UP 
Seriall/0/1 physical UPprotocol UP 
一 -一 一 Sublinks status end: 
Bundle Multilink, 2 members, slot 0, Master link is Mp-group0/0/1 
0 lost fragments, 0 reordered, 0 unassigned, 
sequence 0/0 revd/sent 
The bundled sub channels are: 
Seriall/0/0 
Seriall/0/1 


# 根 据 显 示 信息 可 以 看 出 MP 子 链 路 的 物理 状态 和 协议 状态 、 子 链 路 数 及 MP 的 成 员 等 信息 


# 在 R1 上 执行 命令 display interface mp-group 查看 绑 定 效果 
[R1] display interface mp-group 0/0/1 
Mp-group0/0/1 current state : UP 
Line protocol current state : UP 
Last line protocol up time : 2016-07-03 13:33:26 
Description:HUAWEI AR Series, Mp-group0/0/1 Interface 
Route Port,The Maximum Transmit Unit is 1500 
Internet Address is 10.10.10.9/30 
Link layer protocol is PPP 
LCP opened, MP opened, IPCP opened 
Physical is MP, baudrate is 64000 bps 
Current system time: 2016-07-03 13:36:50 
Last 300 seconds input rate 0 bytes/sec, 0 packets/sec 
Last 300 seconds output rate 0 bytes/sec, 0 packets/sec 
Realtime 0 seconds input rate 0 bytes/sec, 0 packets/sec 
Realtime 0 seconds output rate 0 bytes/sec, 0 packets/sec 
6 packets input, 84 bytes, 0 drops 
6 packets output, 84 bytes, 0 drops 
Input bandwidth utilization  : 0.00% 
Output bandwidth utilization : 0.00% 


# 根 据 显示 信息 可 以 看 出 MP-Group 接口 的 状态 为 Up, 链 路 层 协 议 为 PPP,LCP 协商 ,MP 协商 及 IPCP 
协商 状态 为 Opend 等 信息 


在 R2 上 的 配置 命令 类 似 ， 通 过 在 R2 上 ping 对 端 可 以 检测 多 链 路 PPP 组 网 是 否 联通 。 
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10.5.2 ”配置 帧 中 继 


帧 中 继 是 一 种 高 性 能 的 WAN 协议 ， 运 行 在 OSI 参考 模型 的 物理 层 和 数据 链 路 层 。 它 是 一 
种 数据 包 交换 技术 ， 是 X.25 的 简化 版 本 。 它 省 略 了 X.25 的 一 些 强健 功能 ， 如 提供 窗口 技术 和 
数据 重 发 技术 ， 而 是 依靠 高 层 协议 提供 纠 错 功能 ,这 是 因为 帧 中 继 工作 在 更 好 的 WAN 设备 上 ， 
这 些 设 备 较 之 X.25 的 WAN 设备 具有 更 可 靠 的 连接 服务 和 更 高 的 可 靠 性 ， 它 严格 地 对 应 于 OSI 
参考 模型 的 最 低 两 层 ， 而 X.25 还 提供 第 三 层 的 服务 ， 所 以 帧 中 继 比 X.25 具有 更 高 的 性 能 和 更 
有 效 的 传输 效率 。 

帧 中 继 广 域 网 的 设备 分 为 DTE 和 DCE。DTE 表示 数据 终端 设备 , DCE 表示 数据 通信 设备 ， 
用 于 将 用 户 DTE 设备 接 入 网 络 。 

帧 中 继 技术 提供 面向 连接 的 数据 链 路 层 通 信 , 在 每 对 设备 之 间 都 存在 一 条 定义 好 的 通信 链 
路 ， 且 该 链 路 有 一 个 链 路 识别 码 。 这 种 服务 通过 帧 中 继 虚 电路 实现 ， 每 个 帧 中 继 虚 电路 都 以 数 
据 链 路 识别 码 (DLCI) 标识 自己 。 DLCI 的 值 一 般 由 帧 中 继 服务 提供 商 指定 。 帧 中 继 既 支持 PVC 
也 支持 SVC。 

其 相关 命令 及 说 明 如 表 10-7 所 示 。 


表 10-7 帧 中 继 的 相关 配置 命令 





命 令 功 能 
link-protocol 全 设置 Frame Relay 封装 
fr interface-type dte 设置 Frame Relay 接口 类 型 DTE 
i dlci dlci 配置 帧 中 继 链 路 的 数据 连接 标识 符 
frmap ip 配置 本 端 DLCI 到 对 端 瑟 地址 的 静态 映射 


如 图 10-28 进行 帧 中 继 瑟 业务 组 网 ， 实 现 路 由 器 Rl1 和 R2 的 联通 。 
# 配 置 路 由 器 R1， 接 口 封装 为 帧 中 继 链 路 协议 


<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface serial 1/0/0 

[R1-Seriall/0/0] link-protocol fr 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 
[R1-Seriall/0/0] fr interface-type dte 

[R1-Seriall/0/0] quit 


E22 
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DCE2 










Serial 1/0/0 


10.10.10.9/30 
DLCI=70 DCEI 


Serial1/0/0 





帧 中 继 网 络 











10.10.10.9/30 


RI1 DLCI=70 





图 10-28 帧 中 继 瑟 业务 组 网 


# 配 置 静态 地 址 映射 ， 在 Rl 的 接口 上 配置 DLCI 虚 电 路 号 和 直 连 的 DCE1 设备 他 地 址 的 静态 地 址 
映射 

[R1] interface serial 1/0/0.1 

[R1-Serial1/0/0.1] fr dlci 70 

[R1-fr-dlci-Serial1/0/0.1-70] quit 

[R1-Seriall/0/0.1] ip address 10.10.10.9 30 

[R1-Seriall/0/0.1] fr map ip 10.10.10.10 70 

[R1-Seriall/0/0.1] quit 


在 R2 上 的 配置 命令 类 似 ， 通 过 在 R2 上 ping 对 端 可 以 检测 帧 中 继 组 网 是 否 联通 。 
10.5.3 配置 ISDN 


综合 业务 数字 网 (Integrated Service Digital Network，ISDN) 是 电话 网 络 数字 化 的 结果 ， 
由 数字 电话 和 数据 传输 服务 两 部 分 组 成 ， 可 以 在 ISDN 上 传输 声音 、 数 据 和 视频 等 多 种 信息 。 
ISDN 组 件 包括 终端 、 终 端 适配器 、 网 络 终端 设备 、 线 路 终端 设备 和 交换 终端 设备 等 。 

ISDN 提供 了 两 种 类 型 的 访问 接口 ， 即 基本 速率 接口 (Basic Rate Interface，BRI) 和 主要 
速率 接口 (Primary Rate Interface，PRI)。ISDN BRI 提供 两 个 B 信道 和 一 个 D 信道 (2B+D)。 
ISDN 的 B 信道 为 承载 信道 ， 其 速率 为 64kbps， 用 于 传输 用 户 数据 ，D 信道 速率 为 16kbps， 主 
要 用 于 传输 控制 信息 。PRI 提供 30 个 B 信道 和 一 个 D 信道 (30B+D)， 其 B 信道 和 DD 信道 的 
速率 均 为 64kbps。 

其 相关 命令 及 说 明 如 表 10-8 所 示 。 


表 10-8 ISDN 的 相关 配置 命令 














命 令 功 能 
dialer-mle 进入 Dialer-rule 视图 


配置 某 个 拨号 访问 组 对 应 的 
拨号 访问 控制 列表 , 指定 引发 
lpermit} lipv6 {denylpermirt}} Doi 叫 六 条 件 由 

dialer enable-circular 使 能 轮 询 DCC 功能 

interface bri interface-number 进入 指定 的 ISDN BRI 接口 


dialer-rule dialer-rule-number {acl{acl-numberlname acl-name} lip{deny 
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命令 功 能 
查看 ISDN 接口 的 当前 呼 0 
display isdn call-info[interface interface-type interface-number] ee 接口 的 当前 呼叫 
isdn statistics {clearlcontinueldisplay[flow]lstartlstop} ISDN 接口 信息 统计 




















下 面 通过 一 个 具体 实例 来 学 习 两 台 路 由 器 通过 ISDN 线路 进行 连接 时 的 最 基本 配置 。 
图 10-29 所 示 的 路 由 器 R1 和 R2 各 连接 一 条 ISDN BRI 线路 , 路 由 器 的 BRI 接口 通过 NTI1 连接 
到 ISDN 上 。 各 路 由 器 BRI 接口 的 卫 地 址 和 所 连接 的 ISDN 号 如 图 10-29 中 所 标 ， 通 过 对 两 个 
路 由 器 的 配置 达到 R1 和 R2 互通 的 目的 。 

























BRI1/0/0 BRI1/0/0 
10. 10. 10. 9/30 10. 10. 10. 10/30, 
RQ DLCI=70 DLCI=90 
NU 
\ 800010 800011 
NS 


R1 


图 10-29 ISDN 配置 实例 


# 配 置 R1， 配置 拨号 控制 列表 
<Huawei> system-view 

[Huawei] sysname R1 

[R1] dialer-mle 

[R1-dialer-rle] dialer-rule 1 ip permit 
[R1-dialer-rule] quit 


# 配 置 帧 中 继 地 址 映射 

[R1] interface dialer 0 

[R1-Dialer0] link-protocol fr 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 
[R1-Dialer0] ip address 10.10.10.9 30 

[R1-Dialer0] fr dlci 70 

[R1-fr-dlci-Dialer0-70] quit 

[R1-Dialer0] ft map ip 10.10.10.10 70 
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# 配 置 拨号 控制 列表 关联 接口 Dialer0 
[R1-Dialer0] dialer-group 1 


# 使 能 轮 询 DCC 
[R1-Dialer0] dialer enable-circular 


# 配 置 Rl 向 R2 发 起 呼叫 
[R1-Dialer0] dialer number 800011 
[R1-Dialer0] quit 


# 了 配置 物理 接口 并 将 物理 接口 加 入 拨号 循环 组 (Dialer Circular Group) 

[R1] interface bri 1/0/0 

[R1/0/0] link-protocol fr 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 
[R1-Bri1/0/0] dialer circular-group 0 


RouterB 的 配置 和 RouterA 类 似 ， 在 配置 完成 后 ， 在 RI 上 Ping R2 的 瑟 地 址 来 验证 拨号 

用 户 还 可 以 使 用 命令 display isdn call-info [ interface interface-type interface-number ] 查 看 指 
定 接口 的 当前 呼叫 状态 ， 使 用 命令 isdn statistics 统计 ISDN 接口 上 的 收发 消息 并 查看 统计 的 
结果 。 


10.6 IPSec 配置 与 测试 


10.6.1 IPSec 实现 的 工作 流程 


IPSec 实现 的 VPN 主要 多 种 方式 , 本 节 介绍 通过 IKE 协商 方式 建立 IPSec 隧道 的 配置 .IKE 
动态 协商 方式 是 由 ACL 来 指定 要 保护 的 数据 流 范围 ， 配 置 安全 策略 并 将 安全 策略 绑 定 在 实际 
的 接口 上 来 完成 PSec 的 配置 。 具 体 方法 是 通过 ACL 规则 筛选 出 需要 进入 IPSec 隧道 的 报 文 ， 
规则 允许 〈permit) 的 报 文 将 被 保护 ， 规 则 拒绝 (deny) 的 报 文 将 不 被 保护 。 这 种 方式 可 以 利 
用 ACL 配置 的 灵活 性 ， 根 据 卫 地 址 、 端 口 、 协 议 类 型 等 对 报 文 进行 过 滤 进 而 灵活 制定 安全 策 
略 ， 对 于 中 大 型 网 络 中 ， 一 般 使 用 IKE 协商 建立 SA。 


1. 为 IPSec 做 准备 
在 采用 ACL 方式 建立 PSec 隧道 之 前 , 实现 源 接口 和 目的 接口 之 间 路 由 可 达 。 如 果 要 配置 
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基于 ACL 的 GRE over IPSec， 则 需要 创建 一 个 Tunnel 接口 并 配置 该 接口 为 GRE 类 型 ， 配 置 源 
下 、 目 的 中 和 下 地 址 。 其 中 , 源 正 为 网 关 出 接口 的 瑟 ， 目的 卫 为 对 端 网 关 出 接口 的 正 地 址 ， 
并 将 Tunnel 接口 加 入 安全 区 域 。 


2 定义 需要 保护 的 数据 














IPSec 能 够 对 一 个 或 多 个 数据 流 进行 安全 保护 , ACL 方式 建立 IPSec 隧道 采用 ACL 来 指定 
需要 IPSec 保护 的 数据 流 。 实 际 应 用 中 ， 首 先 需 要 通过 配置 ACL 的 规则 定义 数据 流 范 围 ， 再 在 
IPSec 安全 策略 中 引用 该 ACL， 从 而 起 到 保护 该 数据 流 的 作用 。 一 个 PSec 安全 策略 中 只 能 引 
用 一 个 ACL。 采 用 ACL 方式 建立 IPSec 隧道 配置 流程 如 下 。 

(1) 在 两 个 网 关 R1 和 R2 之 间 建 立 点 到 点 的 IPSec 隧道 ， 假 设 R1 需要 保护 的 网 段 为 
10.10.10.0/24，R2 需要 保护 的 网 段 为 172.16.10.0/24。 

R1 的 配置 如 下 。 


[R1] acl 3001 
[R1-acl-adv-3001] rule permit ip source 10.10.10.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 


R2 的 配置 如 下 。 


[R2] acl 3001 
[R2-acl-adv-3001] rule permit ip source 172.16.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 


(2) 如 果 网 关 下 有 多 条 数据 流 需要 IPSec 保护 ， 相 关 的 ACL 配置 如 下 所 示 。 
Rl 的 配置 如 下 。 


[R1] ip address-set soul type object 
[R1-objectraddress-set-soul] address 0 10.10.10.0 mask 24 
[R1-objectraddress-set-soul] address 1 10.10.20.0 mask 24 
[R1-objectraddress-set-soul] address 2 10.10.30.0 mask 24 
[R1-objectraddress-set-soul] quit 

[R1] ip address-set denl type object 
[Rl1-object-address-set-den1] address 0 172.16.10.0 mask 24 
[BR1-obiectraddress-set-den1] address 1 172.16.20.0 mask 24 
[R1-obiectraddress-set-den1] address 2 172.16.30.0 mask 24 
[Rl1-object-address-set-den1] quit 

[R1] acl 3001 

[Rl1-acl-adv-3001] mle permit ip source address-set soul 
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[Rl1-acl-adv-3001] mle permit ip destination address-set denl 
R2 的 配置 如 下 。 


[R2] ip address-set soul type object 
[R2-object-address-set-soul] address 0 172.16.10.0 mask 24 
[R2-object-address-set-soul] address 1 172.16.20.0 mask 24 
[R2-object-address-set-soul] address 2 172.16.30.0 mask 24 
[R2-object-address-set-soul] quit 

[R2] ip address-set denl type object 
[R2-object-address-set-den1] address 0 10.10.10.0 mask 24 
[R2-object-address-set-den1] address 1 10.10.20.0 mask 24 
[R2-object-address-set-den1] address 2 10.10.30.0 mask 24 
[R2-object-address-set-den1] quit 

[R2] acl 3001 

[R2-acl-adv-3001] rule permit ip source address-set soul 
[R2-acl-adv-3001] rule permit ip destination address-set denl 


(3) 当 采 用 ACL 方式 建立 GRE over IPSec 隧道 时 ，IPSec 保护 的 数据 流 为 GRE 封装 后 的 


数据 流 。ACL 的 源 和 目的 网 段 为 GRE 隧道 的 源 端 地 址 和 GRE 隧道 的 目的 端 地 址 ， 即 隧道 两 端 
网 关 接 口 地 址 。 假 设 Rl 地 址 为 172.16.10.1/24，R2 地 址 为 172.16.20.1/24。 


R1 的 配置 如 下 


[R1] acl number 3001 
[R1-acl-adv-3001] rule permit ip source172.16.10.1 0 destination 172.16.20.10 
[R1l-acl-adv-3001] quit 


R2 的 配置 如 下 


[R2] acl number 3001 
[R2-acl-adv-3001] mle permit ip source 172.16.20.1 0 destination 172.16.10.1 0 
[R2-acl-adv-3001] quit 


3. 配置 IPSec 安全 提议 





IPSec 安全 提议 是 安全 策略 或 者 安全 框架 的 一 个 组 成 部 分 ， 它 包括 IPSec 使 用 的 安全 协议 、 


认证 /加 密 算法 以 及 数据 的 封装 模式 ， 定 义 了 卫 Sec 的 保护 方法 ， 为 IPSec 协商 SA 提供 各 种 安 
全 参数 。IPSec 隧道 两 端 设备 需要 配置 相同 的 安全 参数 。 


(1) 通过 命令 ipsec proposal proposal-name， 创 建 PSec 安全 提议 并 进入 IPSec 安全 提议 


视图 。 


第 10 章 组 网 技术 “ 吓 5o 莉 


(2) 通过 命令 transform{fahlesplah-esp}， 配 置 安全 协议 ， 默 认 情况 下 ，IPSec 安全 提议 采用 
ESP 协议 。 

(3) 配置 安全 协议 的 认证 /加 密 算法 。 例 如 通过 命令 ah authentication-algorithm{md5|shal| 
sha2-256|sha2-384|sha2-512lsm3}， 设 置 AH 协议 采用 的 认证 算法 。 默 认 情 况 下 ，AH 协议 采用 
SHA2-256 认证 算法 。 

(4) 通过 命令 encapsulation-mode {transportltunnel}， 选 择 安全 协议 对 数据 的 封装 模式 ， 默 
认 情 况 下 ， 安 全 协议 对 数据 的 封装 模式 采用 隧道 模式 。 

4. 配置 IPSec 安全 策略 


IPSec 安全 策略 是 创建 SA 的 前 提 ， 它 规定 了 对 哪些 数据 流 采 用 哪 种 保护 方法 。 配 置 PSec 
安全 策略 时 ， 通 过 引用 ACL 和 IPSec 安全 提议 ， 将 ACL 定义 的 数据 流 和 IPSec 安全 提议 定义 
的 保护 方法 关联 起 来 ,并 可 以 指定 SA 的 协商 方式 、IPSec 隧道 的 起 点 和 终点 、 所 需要 的 密 钥 和 
SA 的 生存 周期 等 。 一 个 IPSec 安全 策略 由 名 称 和 序号 共同 唯一 确定 ， 相 同名 称 的 IPSec 安全 策 
略为 一 个 IPSec 安全 策略 组 。 

ISAKMP 方式 IPSec 安全 策略 适用 于 对 端 瑟 地 址 固定 的 场景 , ISAKMP 方式 IPSec 安全 策 
略 直接 在 IPSec 安全 策略 视图 中 定义 需要 协商 的 各 参数 ， 协 商 发 起 方 和 响应 方 参数 必须 配置 相 
同 。 配置 了 ISAKMP 方式 IPSec 安全 策略 的 一 端 可 以 主动 发 起 协商 。 

(1) 通过 命令 ipsec policy policy-name seq-number isakmp， 创 建 I SAKMP 方式 IPSec 安全 
策略 ， 并 进入 ISAKMP 方式 IPSec 安全 策略 视图 ， 默 认 情 况 下 ， 系 统 不 存在 IPSec 安全 策略 。 

(2) 通过 命令 security acl acl-number [ dynamic-source ]， 在 IPSec 安全 策略 中 引用 ACL， 
默认 情况 下 ，IPSec 安全 策略 没有 引用 ACL。 

(3) 通过 命令 proposal proposal-name， 在 IPSec 安全 策略 中 引用 IPSec 安全 提议 ， 默 认 情 
况 下 ，IPSec 安全 策略 没有 引用 IPSec 安全 提议 。 

(4) 通过 命令 ike-peer peer-name， 在 Sec 安全 策略 中 引用 IKE 对 等 设备 ， 默 认 情况 下 ， 
IPSec 安全 策略 没有 引用 IKE。 


S. 接口 上 应 用 IPSec 安全 策略 组 














为 使 接口 能 对 数据 流 进 行 PSec 保护 ， 需 要 在 该 接口 上 应 用 一 个 IPSec 安全 策略 组 。 当 取 
消 IPSece 安全 策略 组 在 接口 上 的 应 用 后 ， 此 接口 便 不 再 具有 IPSec 的 保护 功能 。 IPSec 安全 策略 
组 是 所 有 具有 相同 名 称 、 不 同 序号 的 人 PSec 安全 策略 的 集合 。 

接口 应 用 IPSec 安全 策略 组 的 配置 原则 如 下 。 

(1) IPSec 安全 策略 应 用 到 的 接口 一 定 是 建立 隧道 的 接口 ， 且 该 接口 一 定 是 到 对 端 私 网 路 
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由 的 出 接口 。 如 果 将 人 PSec 安全 策略 应 用 到 其 他 接口 会 导致 VPN 业务 不 通 。 
(2) 一 个 接口 只 能 应 用 一 个 IPSec 安全 策略 组 ， 一 个 IPSec 安全 策略 组 也 只 能 应 用 到 一 个 


接口 上 。 
(3) 当 IPSec 安全 策略 组 应 用 于 接口 后 , 不 能 修改 该 安全 策略 组 下 安全 策略 的 引用 的 ACL、 
引用 的 IKE。 


6. 测试 和 验证 IPSec 

该 任务 涉及 使 用 display ipsec global config、ping 和 相关 的 命令 来 测试 和 验证 IPSec 加 密 工 
作 是 否 正 常 ， 并 为 之 排除 故障 。 
10.6.2 IPSec 配置 举例 


某 公司 由 总 部 和 分 支 机 构 构 成 ， 通 过 IPSec 实现 网 络 安 全 ， 具 体 网 络 拓 扑 结 构 和 主 路 由 器 
及 分 支 路 由 器 上 的 配置 如 下 。 


1. 网 络 拓扑 
网 络 结构 如 图 10-30 所 示 。 














168.1.1.0 












| 


168.1.1.1 分 支 机 构 172.22.2.100 








172.22.1.100 总 部 
路 由 器 路 由 器 
总 部 局 域 网 机 构 后 域 
172.22.1.0)24 1 用 9 


图 10-30 网络 结 构图 


2. 配置 与 测试 
两 路 由 器 之 间 的 地 址 分 配 如 表 10-9 所 示 〔 该 表 可 用 于 多 种 配置 使 用 〉。 


表 10-9 路 由 器 地 址 分 配 表 


总 部 分 支 机构 
172.22.1.0 172.22.2.0 
168.1.1.0 167.1.1.0 





内 部 网 段 网 
因特网 段 网 











业 |u 
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续 表 
分 支 机 构 
路 由 器 内 部 端口 P 地 址 172.22.1.100 172.22.2.100 
路 由 器 Intemet 端口 人 P 地 址 168.1.1.1 167.1.1.1 
路 由 器 串口 人 P 地址 202.96.1.1 202.96.1.2 
隧道 端口 IP 地 址 192.168.1.1 192.168.1.2 





两 端 路 由 器 配置 分 别 如 下 。 
(1) 分 别 在 总 部 路 由 器 Rl 和 分 支 机 构 路 由 器 R2 配置 接口 地 址 和 静态 路 由 。 


<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface gigabitethernet 1/0/0 

[R1-GigabitEthernet1/0/0] ip address 168.1.1.1 255.255.255.0 

[R1-GigabitEthernet1/0/0] quit 

[R1] interface gigabitethernet 2/0/0 

[R1-GigabitEthernet2/0/0] ip address 172.22.1.100 255.255.255.0 

[R1-GigabitEthernet2/0/0] quit 

[R1] ip route-static 167.1.1.1 255.255.255.0 168.1.1.2 (到 对 端 下 一 跳 的 地 址 是 168.1.1.2) 
[R1] ip route-static 172.22.2.0 255.255.255.0 168.1.1.2 


<Huawei> system-view 

[Huawei] sysname R2 

[R2] interface gigabitethernet 1/0/0 

[R2-GigabitEthernetl/0/0] ip address 167.1.1.1 255.255.255.0 

[R2-GigabitEthernet1/0/0] quit 

[R2] interface gigabitethernet 2/0/0 

[R2-GigabitEthermet2/0/0] ip address 172.22.2.100 255.255.255.0 

[R2-GigabitEthernet2/0/0] quit 

[R2] ip route-static 168.1.1.0 255.255.255.0 167.1.1.2 (到 对 端 下 一 跳 的 地 址 是 167.1.1.2) 
[R2] ip route-static 172.22.1.0 255.255.255.0 167.1.1.2 


(2) 分 别 在 Rl 和 R2 上 配置 ACL， 定 义 各 自 要 保护 的 数据 流 。 


# 在 R1 上 配置 ACL， 定 义 由 子 网 172.22.1.0/24 去 子 网 172.22.2.0/24 的 数据 流 

[R1] asl number 3101 

[Rl1-acl-adv-3101] rule permit ip source 172.22.1.0 0.0.0.255 destination 172.22.2.0 0.0.0.255 
[Rl1-acl-adv-3101] quit 


eu 
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# 在 R2 上 配置 ACL， 定 义 由 子 网 172.22.2.0/24 去 子 网 172.22.1.0/24 的 数据 流 

[R2] acl number 3101 

[R2-acl-adv-3101] rule permit ip source 172.22.2.0 0.0.0.255 destination 172.22.1.0 0.0.0.255 
[R2-acl-adv-3101] quit 


(3) 分 别 在 Rl 和 R2 上 创建 了 PSec 安全 提议 。 


# 在 R1 上 配置 PSec 安全 提议 

[R1] ipsec proposal tranl 

[R1-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
[R1-ipsec-proposal-tran1] esp encryption-algorithm aes-128 
[R1-ipsec-proposal-tran1] quit 


# 在 R2 上 配置 IPSec 安全 提议 

[R2] ipsec proposal tranl 

[R2-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
[R2-ipsec-proposal-tran1] esp encryption-algorithm aes-128 
[R2-ipsec-proposal-tran1] quit 


此 时 分 别 在 Rl1 和 R2 上 执行 display ipsec proposal 会 显示 所 配置 的 信息 。 
(4) 分 别 在 Rl 和 R2 上 配置 IKE 对 等 体 。 


# 在 R1 上 配置 IKE 安全 提议 

[R1] ike proposal 5 

[R1-ike-proposal-5] encryption-algorithm aes-128 
[R1-ike-proposal-5] authentication-algorithm sha2-256 
[R1-ike-proposal-5] dh group14 

[Rl1-ike-proposal-5] quit 


# 在 R1 上 配置 下 E 对 等 体 ， 并 根据 默认 配置 ， 配 置 预 共享 密 钥 和 对 端 人 D 
[R1] ike peer spub 

[R1-ike-peer-spub] undo version 2 

[R1-ike-peer-spub] ike-proposal 5 

[R1-ike-peer-spub] pre-shared-key cipher huawei 

[R1-ike-peer-spub] remote-address 167.1.1.1 

[Rl1-ike-peer-spub] quit 


# 在 R2 上 配置 IKE 安全 提议 
[R2] ike proposal 5 
[R2-ike-proposal-5] encryption-algorithm aes-128 
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[R2-ike-proposal-5] authentication-algorithm sha2-256 
[R2-ike-proposal-5] dh group14 
[R2-ike-proposal-5] quit 


# 在 R2 上 配置 IKE 对 等 体 ， 并 根据 默认 配置 ， 配 置 预 共享 密 钥 和 对 端 人 D 
[R2] ike peer spua 

[R2-ike-peer-spual] undo version 2 

[R2-ike-peer-spua] ke-proposal 5 

[R2-ike-peer-spua] pre-shared-key cipher huawei 

[R2-ike-peer-spua] remote-address 192.168.1.1 

[R2-ike-peer-spua] quit 


(5) 分 别 在 Rl 和 R2 上 创建 安全 策略 。 


# 在 R1 上 配置 IKE 动态 协商 方式 安全 策略 

[R1] ipsec policy mapl 10 isakmp 
[R1l-ipsec-policy-isakmp-map1-10] ike-peer spub 
[R1l-ipsec-policy-isakmp-map1-10] proposal tranl 
[R1-ipsec-policy-isakmp-map1-10] security acl 3101 
[R1l-ipsec-policy-isakmp-map1l-10] quit 


# 在 R2 上 配置 下 E 动态 协商 方式 安全 策略 

[R2] ipsec policy usel 10 isakmp 

[R2-ipsec-policy-isakmp-usel-10] ike-peer spua 

[R2-ipsec-policy-isakmp-usel-10] proposal tranl 

[R2-ipsec-policy-isakmp-usel-10] security acl 3101 

[R2-ipsec-policy-isakmp-usel-10] quit 

此 时 分 别 在 Rl 和 R2 上 执行 display ipsec policy 会 显示 所 配置 的 信息 。 

(6) 分 别 在 RouterA 和 RouterB 的 接口 上 应 用 各 自 的 安全 策略 组 ， 使 接口 具有 IPSec 的 保 
护 功能 。 

# 在 Rl 的 接口 上 引用 安全 策略 组 

[R1] interface gigabitethernet 1/0/0 


[R1-GigabitEthernet1/0/0] ipsec policy mapl 
[R1-GigabitEthernet1/0/0] quit 


# 在 R2 的 接口 上 引用 安全 策略 组 
[R2] interface gigabitethernet 1/0/0 
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[R2-GigabitEthernet1/0/0] ipsec policy usel 
[R2-GigabitEthernet1/0/0] quit 
(7) 测试 配置 结果 。 
# 配置 成 功 后 ， 总 部 和 分 支 机 构 的 PC 执行 ping 操作 正常 ， 它 们 之 间 的 数据 传输 将 被 加 密 ， 执 行 命 
令 display ipsec statistics 可 以 查看 数据 包 的 统计 信息 


# 在 R1 上 执行 display ike sa 操作 ， 结 果 如 下 
[R1] display ike sa 
Conn-ID Peer VPN Flag(s) Phase 





167.1.1.1 
14 167.1.1.1 0 RDIST vl:1 


Number of SA entries :2 

Number of SA entries of all cpu : 2 

Flag Description: 

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
HRT--HEARTBEAT LKG--LASTKNOWN GOOD SEQNO. BCK--BACKED UP 
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING 


10.6.3 ”常见 的 故障 
1. IKE SA 协商 失败 


IPSec 业务 不 通 时 ， 执 行 命令 display ike sa， 发 现 下 E SA 没有 协商 成 功 。 IKE SA 协商 失败 
时 ， 显 示 信 息 为 室 、Flag 参数 为 空 或 者 Peer 参数 为 0.0.0.0。 
排 错 方法 1: 使 用 命令 display ike proposal， 查 看 IKE 对 等 体 间 的 IKE 安全 提议 是 否 一 致 ， 
如 果 不 一 致 需要 配置 一 致 。 例 如 检查 发 现 认证 算法 不 一 致 。 
IKE 协商 的 发 起 方 : 
ike proposal 10 
authentication-algorithm sha2-256 


IKE 协商 的 响应 方 : 


ike proposal 10 
authentication-algorithm sha2-384 
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排 错 方法 2: 使 用 命令 display ike peer， 查 看 对 等 体 视 图 下 的 配置 是 否 有 遗漏 或 配置 错误 。 
检查 是 否 配置 对 端正 地址。 

采用 ACL 方式 建立 IPSec 隧道 时 ， 如 果 IKE 协商 采用 主 模式 ， 则 设备 必须 指定 对 端的 正 
地 址 ， 而 且 两 端 指 定 的 对 端 瑟 地 址 要 相互 匹配 。 

例如 IKE 协商 的 发 起 方 和 响应 方 的 瑟 地 址 分 别 为 10.1.1.2 和 10.2.1.2， 配 置 如 下 所 示 。 

IKE 协商 的 发 起 方 : 

ike peer mypeerl 

Tremote-address 10.2.1.2 


IKE 协商 的 响应 方 : 


ike peer mypeer2 
remote-address 10.1.1.2 


对 端 outbound 的 spi 值 与 本 端的 inbound 不 同 或 配置 的 策略 不 同 (esp、ah)。 

判断 方法 和 解决 方案 为 : 检查 双方 的 配置 信息 ， 尤 其 是 在 PSec-manual 方式 下 检查 双方 的 
SPI 值 是 否 按 方向 〈inbound、outbound) 匹配 。 而 在 了 PSec-isakmp 下 ， 则 可 能 是 协商 出 错 。 

2. IPSec SA 协商 失败 

问题 描述 : IPSec 业务 不 通 时 ， 执 行 命令 display ike sa， 发 现 PSec SA 没有 协商 成 功 ， 第 
二 阶段 的 显示 信息 未 显示 或 Flag 参数 为 空 。 

排 错 方法 1: 执行 命令 display ipsec proposal， 查 看 IKE 对 等 体 间 的 IPSec 安全 提议 是 否 一 


如 果 不 一 致 需要 配置 一 致 。 例 如 检查 发 现 ESP 协议 采用 的 认证 算法 不 一 致 。 
IKE 协商 的 发 起 方 : 


长 


ipsec proposal prop1 
esp authentication-algorithm sha2-512 


IKE 协商 的 响应 方 : 

ipsec proposal prop2 

esp authentication-algorithm sha2-384 

排 错 方法 2: 使 用 命令 display ipsec policy， 查 看 IPSec 安全 策略 视图 下 的 配置 是 否 有 遗漏 
或 配置 错误 。 检 查 IPSec 安全 策略 中 引用 的 ACL 是 否 一 致 。 

当 IPSec 隧道 两 端的 ACL 规则 镜像 配置 时 ， 任 意 一 方 发 起 协商 都 能 保证 SA 成 功 建立 ， 当 


so 
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IPSec 隧道 两 端的 ACL 规则 非 镜像 配置 时 ， 只 有 发 起 方 的 ACL 规则 定义 的 范围 是 响应 方 的 子 
集 时 ，SA 才能 成 功 建立 。 因 此 ， 建 议 人 PSec 隧道 两 端 配置 的 ACL 规则 互 为 镜像 ， 即 一 端 配 置 
的 ACL 规则 的 源 地 址 和 目的 地 址 分 别 为 另 一 端 配置 的 ACL 规则 的 目的 地 址 和 源 地 址 。 

例如 IKE 协商 的 发 起 方 源 /目的 地 址 为 172.16.10.2/172.16.20.2，IKE 协商 的 响应 方 源 /目的 
地 址 为 172.16.20.2/172.16.10.2。 

IKE 协商 的 发 起 方 : 


acl number 3001 

rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 
ipsec policy mapl 10 isakmp 

security acl 3001 


IKE 协商 的 响应 方 : 


acl number 3001 

rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 
ipsec policy map2 10 isakmp 

security acl 3001 


检查 IPSec 安全 策略 中 引用 的 IKE 对 等 体 中 内 容 是 否 一 致 ， 如 果 不 一 致 需要 配置 一 致 。 例 
如 IKE 协商 的 发 起 方 的 引用 的 IKE 对 等 体 为 spub。 


ipsec policy mapl 10 isakmp 
ike-peer spub 


其 IKE 对 等 体 的 相关 配置 。 


ike peer spub 

undo version 2 

pre-shared-key cipher %“%#JvZxR2g8c;a9~FPN~n'$7"DEV&=G(=Et02P/%\*1%0^%# / 密 钥 为 
Huawei(@123 

ike-proposal 5 

remote-address 59.74.144.1 


检查 下 Sec 安全 策略 中 引用 的 人 PSec 安全 提议 中 内 容 是 否 一 致 , 如果 不一致 需要 配置 一 致 。 
例如 IKE 协商 的 发 起 方 的 引用 的 下 Sec 安全 提议 为 tranl。 





ipsec policy policyl 100 isakmp 
proposal tranl 
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JPSec 安全 提议 的 相关 配置 为 : 


ipsec proposal tranl 
esp authentication-algorithm sha2-256 
esp encryption-algorithm aes-128 


10.7 1IPv6 配置 与 部 署 


由 于 从 IPv4 向 了 Pv6 过 渡 是 大 势 所 趋 ， 所 以 目前 有 许多 从 IPv4 向 IPv6 过 渡 的 技术 。 本 节 
通过 实例 介绍 采用 双 栈 、 隧 道 策略 实现 从 IPv4 向 IPv6 过 渡 的 技术 。 


1， 双 栈 策略 


双 栈 策略 是 指 在 网 络 节点 中 同时 具有 IPv4 和 IPv6 两 个 协议 栈 ， 这 样 ， 它 既 可 以 接收 、 处 
理 、 收 发 IPv4 的 分 组 ， 也 可 以 接收 、 处 理 、 收 发 Pv6 的 分 组 。 对 于 主机 来 讲 ，“ 双 栈 ” 是 指 
其 可 以 根据 需要 对 业务 产生 的 数据 进行 Pv4 封装 或 者 IPv6 封装 ， 对 于 路 由 器 来 讲 ，“ 双 栈 ” 
是 指 在 一 个 路 由 器 设备 中 维护 IPv6 和 IPv4 两 套路 由 协议 栈 , 使 得 路 由 器 既 能 与 IPv4 主机 也 能 
与 IPv6 主机 通信 ， 分 别 支持 独立 的 IPv6 和 IPv4 路 由 协议 ，IPv4 和 IPv6 路 由 信息 按照 各 自 的 
路 由 协议 进行 计算 ,维护 不 同 的 路 由 表 。IPv6 数据 报 按照 IPv6 路 由 协议 得 到 的 路 由 表 转 发 , IPv4 
数据 报 按照 v4 路 由 协议 得 到 的 路 由 表 转 发 。 双 栈 策略 的 优点 是 概念 清晰 、 易 于 理解 、 网 络 规 
划 相 对 简单 ， 同 时 在 IPv6 逻辑 网 络 中 可 以 充分 发 挥 IPv6 协议 的 所 有 优点 (例如 安全 性 、 路 由 
约束 和 流 的 支持 等 方面 ) 。 

双 栈 策略 存在 以 下 缺点 : 对 网 元 设备 的 要 求 较 高 ， 要 求 其 不 仅 支持 IPv4 路 由 协议 ， 而 且 
支持 Pv6 路 由 协议 , 这 就 要 求 其 维护 大 量 的 协议 和 数据 。 另 外 ， 网 络 升级 改造 将 涉及 网 络 中 的 
所 有 网 元 设备 ， 投 资 大 、 建 设 周期 比较 长 。 


2. 隧道 策略 














隧道 策略 是 IPv4/Pv6 过 渡 中 经 常 使 用 到 的 一 种 机 制 。 所 谓 “隧道 ”， 简 单 地 讲 就 是 利用 
一 种 协议 来 传输 另 一 种 协议 的 数据 的 技术 。 在 IPv6 发 展 初期 ， 必 然 有 许多 局 部 的 纯 IPv6 网 络 ， 
这 些 IPv6 网 络 被 Pv4 骨干 网 络 隔离 开 来 ， 为 了 使 这 些 孤立 的 “IPv6 岛 ” 互 通 ， 采 取 隧 道 技术 
的 方式 来 解决 。 利 用 穿越 现存 IPv4 因特网 的 隧道 技术 将 许多 个 “IPv6 孤岛 ”连接 起 来 ， 逐 步 
扩大 IPv6 的 实现 范围 。 隧 道 技术 的 工作 机 理 就 在 IPv6 网 络 与 IPv4 网 络 间 的 隧道 入 口 处 ， 路 由 
器 将 了 Pv6 的 数据 分 组 封装 入 IPv4 中 ，IPv4 分 组 的 源 地 址 和 目的 地 址 分 别 是 隧道 入 口 和 出 口 的 
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JPv4 地 址 。 在 隧道 的 出 口 处 再 将 IPv6 分 组 取出 转发 给 目的 节点 。 目 前 应 用 较 多 的 隧道 技术 有 
构造 隧道 、6to4 隧道 以 及 MPLS 隧道 等 。 目前 的 隧道 技术 主要 实现 了 在 IPv4 数据 包 中 封装 IPv6 
数据 包 ， 随 着 IPv6 技术 的 发 展 和 广泛 应 用 ， 未 来 将 会 出 现在 IPv4 数据 包 中 封装 IPv6 数据 包 的 
隧道 技术 。 隧 道 技术 能 够 充分 利用 现 有 的 网 络 投资 , 因此 在 过 渡 初 期 是 一 种 方便 的 选择 。 但 是 ， 
在 隧道 的 入 口 处 会 出 现 负 载 协议 数据 包 的 拆 分 ， 在 隧道 的 出 口 处 会 出 现 负载 协议 数据 包 的 重 
组 ， 这 就 增加 了 隧道 出 、 入 口 的 实现 复杂 度 ， 不 利于 大 规模 的 应 用 。 


10.7.1 1IPv6-over-IPv4 GRE 隧道 配置 














IPv6-over-IPv4 隧道 是 将 IPv6 报 文 封装 在 IPv4 报 文中 , 让 IPv6 数据 包 穿 过 IPv4 网 络 进行 
通信 。 对 于 采用 隧道 技术 的 设备 来 说 ， 在 隧道 的 入 口 处 ， 将 IPv6 的 数据 报 封装 进 IPv4，IPv4 
报 文 的 源 地 址 和 目的 地 址 分 别 是 隧道 入 口 和 隧道 出 口 的 IPv4 地 址 ; 在 隧道 的 出 口 处 , 再 将 IPv6 
报 文 取出 转发 到 目的 节点 。 隧 道 技术 只 要 求 在 隧道 的 入 口 和 出 口 处 进行 修改 ， 对 其 他 部 分 没有 
要 求 ， 容 易 实现 。 但 是 ， 隧 道 技术 不 能 实现 IPv4 主机 与 Pv6 主机 的 直接 通信 。 

使 用 标准 的 GRE 隧道 技术 ， 可 以 在 IPv4 的 GRE 隧道 上 承载 IPv6 数据 报 文 。GRE 隧道 是 
两 点 之 间 的 连 路 ， 每 条 连 路 都 是 一 条 单独 的 隧道 。GRE 隧道 把 IPv6 作为 乘客 协议 ,将 GRE 作 
为 承载 协议 。 所 配置 的 IPv6 地 址 是 在 Tunnel 接口 上 配置 的 , 所 配置 的 IPv4 地 址 是 Tunnel 的 源 
地 址 和 目的 地 址 (隧道 的 起 点 和 终点 )。 

IPv6-over-IPv4GRE 隧道 的 相关 配置 命令 及 功能 如 表 10-10 所 示 。 


表 10-10 ”GRE 隧道 的 相关 配置 命令 及 功能 














命 令 功 能 
interface tunnel interface-number 创建 Tunnel 接口 
tunnel-protocol gre 指定 Tunnel 为 GRE 模式 
source {ip-address|interface-type interface-number} 指定 Tunnel 的 源 地 址 或 源 接口 
ipv6 enable 使 能 接口 的 IPv6 功能 
ipv6 address {ipv6-addressprefix-lengthlipv6-address/prefix-length} | 设置 Tunnel 接口 的 IPv6 地 址 


下 面 通过 一 个 具体 的 实例 来 实现 人 v6-over-IPv4GRE 隧道 配置 。 

路 由 器 R1 和 R2 经 IPv4 网 络 连接 ， 路 由 器 以 太 口 分 别 连接 两 个 IPv6 网 段 。 通 过 Tunnel 
将 IPv6 的 数据 包 封 装 到 IPv4 的 数据 包 中 ， 实 现 点 到 点 的 数据 传输 。 网 络 拓扑 图 如 图 10-31 
所 示 。 
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图 10-31 IPv6-over-IPv4GRE 隧道 
(1) 配置 Rl 和 R2 的 物理 接口 地 址 。 


<Huawei> system-view 

[Huawei] sysname R1 

[R1] interface gigabitethernet 1/0/0 
[R1-GigabitEthernet1/0/0] ip address 10.1.1.1 255.255.255.0 
[R1-GigabitEthernet1/0/0] quit 

[Rl1] ipv6 

[R1] interface gigabitethernet 2/0/0 
[R1-GigabitEthernet2/0/0] ipv6 enable 
[R1-GigabitEthernet2/0/0] ipv6 address fc01::1 64 
[R1-GigabitEthernet2/0/0] quit 


<Huawei> system-view 

[Huawei] sysname R2 

[R2] interface gigabitethernet 1/0/0 
[R2-GigabitEthernet1/0/0] ip address 10.1.2.2 255.255.255.0 
[R2-GigabitEthernet1/0/0] quit 

[R2] ipv6 

[R2] interface gigabitethernet 2/0/0 
[R2-GigabitEthernet2/0/0] ipv6 enable 
[R2-GigabitEthernet2/0/0] ipv6 address fc03::1 64 
[R2-GigabitEthernet2/0/0] quit 


(2) 配置 Rl 和 R2 的 IPV4 静态 路 由 。 


[R1] ip route-static 10.1.2.2 255.255.255.0 10.1.1.2 
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[R2] ip route-static 10.1.1.1 255.255.255.0 10.1.2.1 
(3) 配置 Rl 和 R2 的 Tunnel 接口 。 


[R1] interface tunnel 0/0/1 
[R1-Tunnel0/0/1] tunnel-protocol gre 
[R1-Tunnel0/0/1] ipv6 enable 
[R1-Tunnel0/0/1] ipv6 address fc02::1 64 
[R1-Tunnel0/0/1] source 10.1.1.1 
[R1-Tunnel0/0/1] destination 10.1.2.2 
[R1-Tunnel0/0/1] quit 


[R2] interface tunnel 0/0/1 
[R2-Tunnel0/0/1] tunnel-protocol gre 
[R2-Tunnel0/0/1] ipv6 enable 
[R2-Tunnel0/0/1] ipv6 address fc02::2 64 
[R2-Tunnel0/0/1] source 10.1.2.2 
[R2-Tunnel0/0/1] destination 10.1.1.1 
[R2-Tunnel0/0/1] quit 


(4) 配置 Rl1 和 R2 的 Tunnel 静态 路 由 。 


[R1] ipv6 route-static fe03::1 64 tunnel 0/0/1 


[R2] ipv6 route-static fe01::1 64 tunnel 0/0/1 
(5) 检查 配置 结果 。 


# 在 R2 上 Ping Rl 的 IPv4 地 址 ， 可 收 到 返回 的 报 文 

[R2] ping 10.1.1.1 

PING 10.1.1.1: 56 data bytes, press CTRL C to break 
Reply from 10.1.1.1: bytes=56 Sequence=] ttl=255 time=66 ms 
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=255 time=48 ms 
Reply from 10.1.1.1: bytes=56 Sequence=3 tt]=255 time=48ms 
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=255 time=12 ms 
Reply from 10.1.1.1: bytes=56 Sequence=5 tt]=255 time=46 ms 
一 10.1.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
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round-trip min/avg/max = 12/44/66 ms 
# 在 R2 上 Ping R1 的 IPv6 地 址 ， 可 收 到 返回 的 报 文 


[R2] ping ipv6 fe01::1 
PING fe01::1 : 56 data bytes, press CTRL C to break 


Reply from fc01::1 bytes=56 Sequence=] hop limit=64 time=36 ms 
Reply from fe01::1 bytes=56 Sequence=2 hop limit=64 time =34ms 
Reply from fe01::1 bytes=56 Sequence=3 hop limit=64 time = 36 ms 
Reply from fe01::1 bytes=56 Sequence=4 hop limit=64 time =36 ms 
Reply from fc01::1 bytes=56 Sequence=5 hop limit=64 time =38 ms 
--- fe01::1 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 


0.00% packet lossround-trip min/avg/max = 34/36/38 ms 


10.7.2 “ISATAP 隧道 配置 


站 内 自动 隧道 寻 址 协议 (Intra-Site Automatic Tunnel Addressing Protocol，ISATAP)〉 过 渡 技 
术 采 用 了 双 栈 和 隧道 技术 实现 从 IPv4 向 IPv6 的 过 渡 。ISATAP 隧道 是 点 到 点 的 自动 隧道 技术 ， 
它 将 IPv4 地 址 置 入 IPv6 地 址 中 ， 当 两 台 ISATAP 主机 通信 时 ， 可 自动 抽取 出 IPv4 地 址 建立 
Tunnel 通信 ， 并 且 不 需要 通过 其 他 特殊 网 络 设备 ， 只 要 彼此 间 IPv4 网 络 通畅 即 可 。 

当 双 栈 主 机 使 用 ISATAP 隧道 时 , IPv6 报 文 的 目的 地 址 和 隧道 接口 的 IPv6 地 址 都 要 采用 特 
殊 的 地 址 一 一 ISATAP 地 址 。ISATAP 地 址 格式 为 Prefix (64bit) :0:SEFE:IPv4ADDR， 其 中 ， 
0:5EFE 是 IANA 规定 的 格式 ，IPv4ADDR 是 单 播 IPv4 地 址 ， 它 嵌入 到 IPv6 地 址 的 低 32 位 。 
ISATAP 地 址 的 前 64 位 是 通过 向 ISATAP 路 由 器 发 送 请 求 得 到 的 ， 如 果 需 要 和 其 他 网 络 的 
ISATAP 客户 端 或 者 IPv6 网 络 通信 ， 必 须 通过 ISATAP 路 由 器 拿 到 全 球 单 播 地 址 前 级 (2001:、 
2002:、3ffe: 开 头 )， 通 过 路 由 器 与 其 他 IPv6 主机 和 网 络 通信 。 其 原理 如 图 10-32 所 示 。 

ISATAP 隧道 可 以 用 于 IPv4 网 络 中 IPv6 路 由 器 与 IPv6 路 由 器 、 主 机 与 路 由 器 的 连接 。 由 
于 不 要 求 隧道 节点 具有 全 球 唯 一 的 IPv4 地 址 ， 可 以 用 于 内 部 私有 网 络 中 各 双 栈 主机 进行 IPv6 
通信 , 所 以 ISATAP 隧道 适用 于 IPv4 网 络 中 IJPv6 主机 之 间 的 通信 或 JPv4 网 络 中 IPv6 主机 接 入 
到 IPv6 网 络 的 通信 。 

下 面 通过 一 个 具体 的 实例 来 实现 ISATAP 隧道 配置 。 

路 由 器 ISATAP 以 太 口 连接 IPv6 和 网 络 IPv4 网 络 ， 通 过 ISATAP 隧道 将 IPv6 的 数据 包 封 
装 到 IPv4 的 数据 包 中 ， 实 现 IPv6 Host 和 ISATAP Host 的 数据 传输 。 网 络 拓扑 图 如 图 10-33 
所 示 。 
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ISATAP 主机 
一 
ICMPv6 Type 133 (RS) TICMPv6 Type 134 (RA) 
IPv4 Source: 192.1.2.1 IPv4 Source: 192.2.3.2 


TPv4 Destinati 


IPv6 Source: fe80::5. 
IPv6 Destination: fe80::5efe:ce7b: lfe8 IPv6 Destination: fe80:: 
Send me ISATAP Prefix ISATAP Prefix: 3ffe:bOO:fFFF :2:: 











图 10-32 ISATAP 隧道 获取 ISATAP 地 址 


ISATAP 
路 由 器 










IPv6 网 络 





IPv4 网 络 
1/0/0 GE2/070 
3001::1/64 2.1.1.1/8 


ISATAP Host 
IPv6 Host Fe80: :5efe:0201:0102 
3001::2 2&1 2 
2001: :5efe:0201:0102 


图 10-33 ”ISATAP 隧道 配置 


ISATAP 隧道 的 相关 配置 命令 及 功能 如 表 10-11 所 示 。 
表 10-11 ISATAP 隧道 相关 配置 命令 及 功能 


功 能 
配置 Tunnel 接口 的 隧道 协议 为 ipv6-ipv4 并 使 用 isatap 隧道 


命令 
tunnel-protocol ipv6-ipv4 isatap 





ipv6 address 2001::/64 eui-64 配置 接口 的 EUI-64 格式 的 全 球 单 播 地 址 





source gigabitethernet 2/0/0 用 来 配置 Tunnel 源 地 址 或 源 接口 





undo ipv6 nd ra halt 用 来 使 能 系统 发 布 RA 报 文 功能 





用 来 为 用 户 端 添加 静态 路 由 (windows) 


netsh interface ipv6 isatap set router 








display ipv6 interface Tunnel 0/0/2 用 来 查看 接口 的 IPv6 信息 
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(1) 配置 ISATAP 路 由 器 。 
# 使 能 IPv4/IPv6 双 协议 栈 ， 配 置 各 接口 地 址 


<Huawei> system-view 

[Huaweilsysname Router 

[Router] ipv6 

[Router] interface gigabitethernet 1/0/0 
[Router-GigabitEthernetl1/0/0] ipv6 enable 
[Router-GigabitEthernet1/0/0] ipv6 address 3001::1/64 
[Router-GigabitEthernet1/0/0] quit 

[Router] interface gigabitethernet 2/0/0 
[Router-GigabitEthernet2/0/0] ip address 2.1.1.1 255.0.0.0 
[Router-GigabitEthernet2/0/0] quit 


# 配 置 ISATAP 隧道 

[Router] interface tunnel 0/0/2 

[Router-Tunnel0/0/2] tunnel-protocol ipv6-ipv4 isatap 
[Router-Tunnel0/0/2] ipv6 enable 
[Router-Tunnel0/0/2] ipv6 address 2001::/64 eui-64 
[Router-Tunnel0/0/2] source gigabitethernet 2/0/0 
[Router-Tunnel0/0/2] undo ipv6 nd ra halt 
[Router-Tunnel0/0/2] quit 


(2) 配置 ISATAP 主机 。 
ISATAP 主机 上 的 具体 配置 与 主机 的 操作 系统 有 关 ， 以 Windows 7 操作 系统 的 主机 为 例 。 


# 使 用 如 下 的 命令 添加 一 条 到 边界 路 由 器 的 静态 路 由 在 Windows 7 系统 中 ，IPv6 协议 默认 已 经 安装 
C: netsh interface ipv6 isatap set router 2.1.1.1 
C:\> netsh interface ipv6 isatap set router 2.1.1.1 enabled 





# 在 主机 上 查看 ISATAP 接口 的 信息 
C:\>ipconfig/all 
隧道 适配器 isatap.{895CA398-8C4F-4332-9558-642844FCB01B}: 


描述 ...............:Microsoft ISATAP Adapter #7 
物理 地 址 . ............: 00-00-00-00-00-00-00-E0 
DHGP' 已 启用 -3 香 

自动 配置 已 启用 ..........: 是 

JPv6 地 址 ............:2001::200:5efe:2.1.1.2( 首 选 ) 
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fecO0:0:0:ffff::2%1 
fecO0:0:0:ffff::3%1 





TCPIP 上 的 NetBIOS .......: 已 禁用 
主机 获取 了 2001::/64 的 前 级 ， 自 动 生成 地 址 2001::200:5efe:2.1.1.2，ISATAP 隧道 已 经 成 
功 建立 。 


(3) 配置 IPv6 网 络 主机 。 


# 在 IPv6 网 络 中 的 主机 上 配置 一 条 到 边界 路 由 器 隧道 的 静态 路 由 ， 使 两 个 不 同 网 络 的 PC 通过 
ISATAP 隧道 互通 
C: netsh interface ipv6 set route 2001::/64 3001::1 


(4) 检查 配置 结果 。 


# 在 ISATAP 路 由 器 上 查看 Tunnel0/0/2 的 IPv6 状态 为 Up 
[Router] display ipv6 interface Tunnel 0/0/2 
Tunnel0/0/2 current state : UP 
JPv6 protocol current state : UP 
IPv6 is enabled, link-local address is FE80::SEFE:201:101 
Global unicast address(es): 
2001::SEFE:201:101, subnet is 2001::/64 
Joined group address(es): 
FF02::1:FF01:101 
FF02::2 
FF02::1 
MTU is 1500 bytes 
ND reachable time is 30000 milliseconds 
ND retransmit interval is 1000 milliseconds 
ND advertised reachable time is 0 milliseconds 
ND advertised retransmit interval is 0 milliseconds 
ND router advertisement max interval 600 seconds, min interval 200 seconds 
ND router advertisements live for 1800 seconds 
Hosts use stateless autoconfig for addresses 





# 在 ISATAP 路 由 器 上 Ping 向 Window XP 系统 的 ISATAP 主机 隧道 接口 的 全 球 单 播 地 址 
[Router] ping ipv6 2001::Sefe:2.1.1.2 
PING 2001::5efe:2.1.1.2:56 data bytes, press CTRL C to break 
Reply from 2001::5EFE:201:102 bytes=56 Sequence=] hop limit=64 time =4ms 
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Reply from 2001::SEFE:201:102 bytes=56 Sequence=2 hop limit=64 time=3 ms 
Reply from 2001::5EFE:201:102 bytes=56 Sequence=3 hop limit=64 time=2 ms 
Reply from 2001::5EFE:201:102 bytes=56 Sequence=4 hop limit=64 time=2 ms 
Reply from 2001::5EFE:201:102 bytes=56 Sequence=5 hop limit=64 time =2 ms 
-一 2001::Sefe:2.1.1.2 ping statistics -—- 

5 packet(s) transmitted 

5 packet(s) received 

0.00% packet loss 

round-trip min/avg/max = 2/2/4 ms 


在 Window XP 系统 的 ISATAP 主机 上 Ping 向 ISATAP 路 由 器 的 全 球 单 播 地 址 ， 以 及 从 
ISATAP 主机 上 Ping 向 IPv6 网 络 主机 ， 检 查 结果 与 上 列 相似 ， 配 置 成 功 。 


10.8 访问 控制 列表 
10.8.1 ACL 的 基本 概念 


访问 控制 列表 (ACL) 根据 源 地 址 、 目 标 地 址 、 源 端口 或 目标 端口 等 协议 信息 对 数据 包 进 
行 过 滤 ， 从 而 达到 访问 控制 的 目的 。 这 种 技术 最 初 只 在 路 由 器 上 使 用 , 后 来 扩展 到 三 层 交 换 机 ， 
甚至 有 些 新 的 二 层 交换 机 也 开始 支持 ACL 了 。 

ACL 是 由 编号 或 名 字 组 合 起 来 的 一 组 语句 。 编 号 和 名 字 是 路 由 器 引用 ACL 语句 的 索引 。 
编号 的 ACL 语句 被 赋予 唯一 的 数字 , 而 命名 的 ACL 语句 有 一 个 唯一 的 名 字 。 有 了 编号 或 名 字 ， 
路 由 器 就 可 以 找到 需要 的 ACL 语句 了 。 

ACL 包括 permit/deny 两 种 动作 ， 表 示人 允许 /拒绝 ， 匹 配 (命中 规则 〉 是 指 存在 ACL， 且 在 
ACL 中 查找 到 了 符合 匹配 条 件 的 规则 。 不 论 匹配 的 动作 是 “permit” 还 是 “deny”， 都 称 为 “ 匹 
配 ”。 而 不 匹配 (未 命中 规则 〉 是 指 不 存在 ACL， 或 ACL 中 无 规则 ， 再 或 者 在 ACL 中 遍历 了 
所 有 规则 都 没有 找到 符合 匹配 条 件 的 规则 。 

ACL 在 系统 视图 模式 下 配置 ， 生 成 的 ACL 命令 需要 被 应 用 才能 起 效 。 

ACL 分 为 基本 ACL、 高 级 ACL、 二 层 ACL 和 用 户 ACL 这 几 种 类 型 。 标 准 ACL 只 能 根据 
分 组 中 的 下 源 地 址 进行 过 滤 ， 例 如 可 以 允许 或 拒绝 来 自 某 个 源 设备 的 所 有 通信 。 扩 展 ACL 不 
仅 可 以 根据 源 地 址 或 目标 地 址 进行 过 滤 ， 还 可 以 根据 不 同 的 上 层 协议 和 协议 信息 进行 过 滤 。 
例如 ， 可 以 对 PC 与 远程 服务 器 的 Telnet 会 话 进行 过 滤 。 表 10-12 比较 了 几 种 ACL 过 滤 功 能 的 
区 别 。 





Es 
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表 10-12 ACL 分 类 
仅 使 用 报 文 的 源 瑟 地址 、 分 片 信息 和 生效 时 间 段 信息 来 定义 规则 
既 可 使 用 IPv4 报 文 的 源 他 地 址 ,也 可 使 用 目的 下 地 址 ,人 P 协 议 类 型 .ICMP 
类 型 、TCP 源 /目的 端口 、UDP 源 /目的 端口 号 、 生 效 时 间 段 等 来 定义 规则 
使 用 报 文 的 以 太 网 帧 头 信息 来 定义 规则 ， 如 根据 源 MAC (Media Access 
Control) 地 址 、 目 的 MAC 地 址 、 二 层 协议 类 型 等 
既 可 使 用 IPv4 报 文 的 源 下 地 址 ,也 可 使 用 目的 人 地址 ,IP 协议 类 型 .ICMP 
类 型 、TCP 源 端口 /目的 端口 、UDP 源 端口 /目的 端口 号 等 来 定义 规则 














基本 ACL 2000 一 2999 





高 级 ACL 3000 一 3999 





二 层 ACL 4000 一 4999 








用 户 ACL 6000 一 6031 

当 一 个 分 组 经 过 时 ， 路 由 器 按照 一 定 的 步骤 找 出 与 分 组 信息 匹配 的 ACL 语句 对 其 进行 处 
理 。 路 由 器 自 顶 向 下 逐个 处 理 ACL 语句 ， 首 先 把 第 一 个 语句 与 分 组 信息 进行 比较 ， 如 果 匹 配 ， 
则 路 由 器 将 允许 (Permit) 或 拒绝 (Deny) 分 组 通过 ; 如 果 第 一 个 语句 不 匹配 ， 则 照样 处 理 第 
-个 语句 ， 直 到 找 出 一 个 匹配 的 。 如 果 在 整个 列表 中 没有 发 现 匹 配 的 语句 ， 则 路 由 器 丢弃 该 分 
组 。 于是， 可 以 对 ACL 语句 的 处 理 规则 总 结 出 以 下 要 点 。 

(1) 一 旦 发 现 匹 配 的 语句 ， 就 不 再 处 理 列表 中 的 其 他 语句 。 

(2) 语句 的 排列 顺序 很 重要 。 

(3) 如 果 整 个 列表 中 没有 匹配 的 语句 ， 则 分 组 被 丢弃 。 

需要 特别 强调 ACL 语句 的 排列 顺序 。 如 果 有 两 条 语句 ， 一 个 拒绝 来 自 某 个 主机 的 通信 ， 
另 一 个 允许 来 自 该 主机 的 通信 ， 则 排 在 前 面 的 语句 将 被 执行 ， 排 在 后 面 的 语句 将 被 忽略 。 所 以 
在 安排 ACL 语句 的 顺序 时 要 把 最 特殊 的 语句 排 在 列表 的 最 前 面 ， 把 最 一 般 的 语句 排 在 列表 的 
最 后 面 ， 这 是 ACL 语句 排列 的 基本 原则 。 例 如 ， 下 面 的 两 条 语句 组 成 一 个 标准 ACL。 


rule deny ip destination 172.16.0.0 0.0.255.255 
rule permit ip destination 172.16.10.0 0.0.0.255 


第 一 条 语句 表示 表示 拒绝 目的 人 P 地 址 为 172.16.0.0/16 网 段 地 址 的 报 文通 过 ， 第 二 条 语句 
表示 表示 人 允许 目的 人 地 址 为 172.16.10.0/24 网 段 地 址 的 报 文 通过 ， 该 网 段 地 址 范围 小 于 
172.16.0.0/16 网 段 范围 。 如 果 路 由 器 收 到 一 个 目的 地 址 为 172.16.10.0 的 分 组 ， 则 首先 与 第 一 条 
语句 进行 匹配 ， 该 分 组 被 拒绝 通过 ， 第 二 条 语句 就 被 忽略 了 。 如 果 要 达到 预想 的 结果 一 一 允许 
来 自 172.16.10.0 子 网 172.16.10.0/24 的 所 有 通信 ， 则 两 条 语句 的 顺序 必须 互 换 。 








rule permit ip destination 172.16.10.0 0.0.0.255 

Tule deny ip destination 172.16.0.0 0.0.255.255 

ACL 除了 按照 配置 顺序 规则 (config 模式 ) 执行 以 外 , 还 有 按照 自动 排序 规则 (auto 模式 ) 。 
自动 排序 是 指 系统 使 用 “深度 优先 ”的 原则 ， 将 规则 按照 精确 度 从 高 到 低 进行 排序 ， 并 按照 精 
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确 度 从 高 到 低 的 顺序 进行 报 文 匹 配 。 规 则 中 定义 的 匹配 项 限制 越 严 格 ， 规 则 的 精确 度 就 越 高 ， 
即 优先 级 越 高 ， 系 统 越 先 匹配 。 
例如 ， 在 auto 模式 的 高 级 ACL 3001 中 ， 先 后 配置 以 下 两 条 规则 。 


Tule deny ip destination 172.16.0.0 0.0.255.255 
Iule permit ip destination 172.16.10.0 0.0.0.255 


配置 完 上 述 两 条 规则 后 ，ACL 3001 的 规则 排序 如 下 。 


# 
acl number 3001 match-order auto 
rule 5 permit ip destination 172.16.10.0 0.0.0.255 
rule 10 deny ip destination 172.16.0.0 0.0.255.255 
# 


此 时 ， 如 果 再 插入 一 条 新 的 规则 rule deny ip destination 10.1.1.10 (目的 他 地 址 范围 是 主机 
地 址 ， 优 先 级 高 于 以 上 两 条 规则 ) ， 则 系统 将 按照 规则 的 优先 级 关系 ， 重 新 为 各 规则 分 配 编号 。 
插入 新 规则 后 ，ACL 3001 新 的 规则 排序 如 下 。 


# 
acl number 3001 match-order auto 
mle 5 deny ip destination 172.16.10.1 0 
rule 10 permit ip destination 172.16.10.0 0.0.0.255 
mle 15 deny ip destination 172.16.0.0 0.0.255.255 
# 


10.8.2 ”ACL 配置 命令 


1. 配置 基本 ACL 的 命令 


使 用 编号 〈2000 一 2999) 创建 一 个 数字 型 的 基本 ACL， 并 进入 基本 ACL 视图 ， 操 作 命 
令 如 下 。 


acl [ number ] aci-number [ match-order { auto | config } ]， 
或 者 使 用 名 称 创建 一 个 命名 型 的 基本 ACL， 并 进入 基本 ACL 视图 操作 命令 为 : 
acl name acl-name { basic | acl-number } [ match-order { auto | config } ]， 


如 果 创 建 ACL 时 未 指定 match-order 参数 ， 则 该 ACL 默认 的 规则 匹配 顺序 为 config; 创建 
ACL 后 , ACL 的 默认 步 长 为 5。 如果 该 值 不 能 满足 管理 员 部 署 ACL 规则 的 需求 , 则 可 以 对 ACL 
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步 长 值 进行 调整 ，〈 可 选 ) 执行 命令 description text， 配 置 ACL 的 描述 信息 。 
配置 基本 ACL 的 规则 的 操作 命令 如 下 。 


mle [ mle-id ] { deny | permit } [ source { source-address source-wildcard | any } | vpn-instance 
vpn-instance-name | [ fragment | none-first-fragment ] | logging | time-range time-name ] 


以 上 步骤 仅 是 一 条 permit/deny 规则 的 配置 步骤 。 实 际 配置 ACL 规则 时 ， 需 根据 具体 的 业 
务 需求 ， 决 定 配置 多 少 条 规则 以 及 规则 的 先后 匹配 顺序 。 

1) ACL 语句 的 删除 

删除 ACL， 系 统 视 图 下 执行 命令 : 


undo acl { [ number ] acl-number | all } 或 undo acl name acl-name 


一 般 可 以 直接 删除 ACL， 不 受 引 用 ACL 的 业务 模块 影响 〈 简 化 流 策 略 中 引用 ACL 指定 
rule 的 情况 除外 ) ， 即 无 须 先 删除 引用 ACL 的 业务 配置 。 

2) 调整 ACL 步 长 

在 网 络 维护 过 程 中 ， 需 要 管理 员 为 原 ACL 添加 新 的 规则 。 由 于 ACL 的 默认 步 长 是 5， 在 
系统 分 配 的 相 邻 编 号 的 规则 之 间 ， 最 多 只 能 插入 4 条 规则 。 调 整 步 长 ， 在 ACL 视图 下 执行 step 
step， 配 置 ACL 步 长 。 

3) 查看 与 清除 ACL 信息 

确认 设备 ACL 资源 的 分 配 情况 ， 在 任意 视图 下 查看 ACL 资源 信息 的 命令 如 下 。 


display acl resource [ slot slot-id] 


若 显示 信息 中 的 计数 非 零 ， 表 示 设 备 仍 存在 空余 的 ACL 资源 。 
确认 需要 清除 ACL 的 运行 信息 后 ， 在 用 户 视 图 下 清除 ACL 统计 信息 的 命令 如 下 。 


Teset acl counter { name acl-name | acl-numpber | all } 


4) 通配符 掩 码 

ACL 规定 使 用 通配符 掩 码 来 说 明子 网 地 址 , 通配符 掩 码 就 是 子 网 掩 码 按 位 取 反 的 结果 。 通 
配 符 掩 码 0.0.0.0 表示 ACL 语句 中 的 32 位 地 址 要 求全 部 匹配 ， 因 而 叫 作 主机 掩 码 。 例 如 : 
192.168.1.1 0.0.0.0 表示 主机 192.168.1.1 的 卫 地址， 实际 上 路 由 器 把 这 个 地 址 转换 为 host 
192.168.1.1， 注 意 这 里 的 关键 字 host。 

通配符 扼 码 255.255.255.255 表示 任意 地 址 都 是 匹配 的 ， 通 常 与 地 址 0.0.0.0 一 起 使 用 ， 例 
如 : 0.0.0.0 255.255.255.255， 路 由 器 将 把 这 个 地 址 转换 为 关键 字 any。 表 10-13 给 出 了 几 个 使 
用 通配符 掩 码 的 例子 。 











组 网 技术 
表 10-13 通配符 掩 码 的 例子 
JP 地址 
0.0.0.0 255.255255255 匹配 任何 地 址 (关键 字 any) 
172.16.1.1 0.0.0.0 匹配 host 172.16.1.1 
172.16.1.0 0.0.0.255 匹配 子 网 172.16.1.0/24 
172.16.2.0 0.0.1.255 匹配 子 网 172.16.2.0/23 (172.16.2.0~172.16.3.255) 





172.16.0.0 0.0.255.255 匹配 子 网 172.16.0.0/16 〈172.16.0.0 一 172.16.255.255) 


2. 配置 基本 ACL 实例 





【 例 10.1】 配 置 基于 源 下 地 址 (主机 地 址 ) 过 滤 报 文 的 规则 。 在 ACL 2001 中 配置 规则 ， 


允许 源 瑟 地 址 是 172.16.10.3 主机 地 址 的 报 文通 过 。 


<Huawei> system-view 
[Huawei] acl 2001 
[Huawei-acl-basic-2001] rule permit source 172.16.10.3 0 


【 例 10.2】 配 置 基于 源 他 地 址 (网 段 地 址 》 过 滤 报 文 的 规则 。 在 ACL 2001 中 配置 规则 ， 
仅 允 许 源 瑟 地 址 是 172.16.10.3 主机 地 址 的 报 文通 过 ， 拒 绝 源 人 P 地 址 是 172.16.10.0/24 网 段 其 


他 地 址 的 报 文通 过 ， 并 配置 ACL 描述 信息 为 Permit only 172.16.10.3 through。 


<Huawei> system-view 

[Huawei] acl 2001 

[Huawei-acl-basic-2001] rule permit source 172.16.10.3 0 
[Huawei-acl-basic-2001] rule deny source 172.16.10.0 0.0.0.255 
[Huawei-acl-basic-2001] description Permit only 172.16.10.3 through 


【 例 10.3】 配 置 基于 时 间 的 ACL 规则 。 创 建 时 间 段 working-time (周一 到 周 五 每 天 8:00 到 
18:00) ， 并 在 名 称 为 work-acl 的 ACL 中 配置 规则 ， 在 working-time 限定 的 时 间 范 围 内 ， 拒 绝 


源 正 地址 是 172.16.10.0/24 网 段 地 址 的 报 文通 过 。 


<Huawei> system-view 
[Huawei] time-range working-time 8:00 to 18:00 working-day 
[Huawei] acl name work-acl basic 





[Huawei-acl-basic-work-acl] rule deny source 172.16.10.0 0.0.0.255 time-range working-time 


【 例 10.4】 配 置 基 于 下 分 片 信息 、 源 下 地 址 (网 段 地 址 ) 过 滤 报 文 的 规则 。 在 ACL 2001 





<Huawei> system-view 


中 配置 规则 ， 拒 绝 源 中 地 址 是 172.16.10.0/24 网 段 地 址 的 非 首 片 分 片 报 文通 过 。 
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[Huawei] acl 2001 
[Huawei-acl-basic-2001] rule deny source 172.16.10.0 0.0.0.255 none-first-fragment 


3. 配置 高 级 ACL 的 命令 语法 


创建 高 级 ACL 与 基本 ACL 相近 似 ， 当 人 P 承载 的 协议 类 型 为 UDP 时 ， 在 配置 高 级 ACL 
规则 时 执行 的 命令 如 下 。 

rule [ rule-id ] { deny | permit }{ protocol-number | udp } [ destination { destination-address 
destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | source 
{ source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | 
logging | time-range time-name | vpn-instance vpn-instance-name | [ dscp dscp | [ tos tos | precedence precedence ] 
* ] | [ fragment | none-first-fragment ] | vni vni-id ] 


当 了 P 承载 的 协议 类 型 为 ICMP、TCP、GRE\NIGMP\IPINIP\IODPF 时 ,命令 格式 同样 包含 了 
(上 层 ) 协议 、 源 和 目标 下 地 址 及 通配符 掩 码 、 协 议 信息 等 内 容 。 

其 中 ， 操 作 符 (operator) 如 表 10-14 所 示 ， 用 于 限定 特定 的 端口 号 。 表 10-15 列 出 了 常用 的 
TCP 和 UDP 端口 号 ， 在 配置 命令 中 使 用 时 可 以 直接 写 端口 号 ， 也 可 以 写 与 协议 对 应 的 关键 字 。 


表 10-14 用 于 TCP 和 UDP 端口 号 的 操作 符 









































操 作 符 解释 
lt 不 等 于 
et 指定 范围 
eq 

传输 协议 上 层 协 议 端口 号 命令 参数 关键 字 
TCP 文件 传输 协议 一 一 数据 20 ftp-data 
TCP 文件 传输 协议 一 一 控制 21 fip 
TCP 远程 连接 23 telnet 
TCP 简单 邮件 传输 协议 25 smtp 
UDP 域名 服务 53 dns 
UDP 简单 文件 传输 协议 69 tftp 
TCP 超 文本 传输 协议 80 Www 
UDP 简单 网 络 管理 协议 161 snmp 
UDP 简单 网 络 管理 协议 162 snmp-trap 
UDP 路 由 信息 协议 520 rip 
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4. 配置 高 级 ACL 实例 


【 例 10.5】 配 置 基于 ICMP 协议 类 型 、 源 于 地址 (主机 地 址 ) 和 目的 下 地址 (网 段 地 址 ) 
过 滤 报 文 的 规则 。 在 ACL 3001 中 配置 规则 ， 人 允许 源 中 地 址 是 172.16.10.3 主机 地 址 且 目 的 下 
地 址 是 172.16.20.0/24 网 段 地址 的 ICMP 报 文通 过 。 

<Huawei> system-view 

[Huawei] acl 3001 

[Huawei-acl-adv-3001] rule permit icmp source 172.16.10.3 0 destination 172.16.20.0 0.0.0.255 


【 例 10.6】 配 置 基于 TCP 协议 类 型 、TCP 目的 端口 号 、 源 中 地 址 (主机 地 址 ) 和 目的 正 
地 址 〈 网 段 地 址 ) 过 滤 报 文 的 规则 。 

步骤 1: 在 名 称 为 deny-telnet 的 高 级 ACL 中 配置 规则 ， 拒 绝 他 地址 是 172.16.10.3 的 主机 
与 172.16.20.0/24 网 段 的 主机 建立 Telnet 连接 。 


<Huawei> system-view 

[Huawei] acl name deny-telnet 

[Huawei-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 172.16.10.3 0 destination 
172.16.20.0 0.0.0.255 


步骤 2: 在 名 称 为 no-web 的 高 级 ACL 中 配置 规则 , 禁止 172.16.10.3 和 172.16.10.4 两 台 主 
机 访问 Web 网 页 (HTTP 协议 用 于 网 页 浏览 ， 对 应 TCP 端口 号 是 80) ， 并 配置 ACL 描述 信息 


为 Web access restrictions。 


<Huawei> system-view 

[Huawei] acl name no-web 

[Huawei-acl-adv-no-web] description Web access restrictions 
[Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 172.16.10.3 0 
[Huawei-acl-adv-no-web] rule deny tcp destination-port eq 80 source 172.16.10.40 


10.8.3 ”ACL 综合 应 用 


使 用 高 级 ACL 可 以 限制 用 户 在 特定 时 间 访 问 特定 服务 器 。 

【实例 1】 某 公司 通过 Router 实现 各 部 门 之 间 的 互 连 。 公 司 要 求 禁止 销售 部 门 在 上 班 时 间 
(8:00 至 18:00) 访问 工资 查询 服务 器 (IP 地 址 为 192.168.10.10) ， 财 务 部 门 不 受 限制 ， 可 以 随 
时 访问 ， 拓 扑 结构 如 图 10-34 所 示 。 
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财务 部 门 PC 
192. 168. 2.0 


工资 查询 服务 器 
192. 168. 10. 10 


销售 部 门 PC 
192. 168. 1.0 QS 


图 10-34 ”ACL 综合 应 用 实例 1 
步骤 1: 配置 接口 加 入 VLAN， 并 配置 VLANIF 接口 的 中 地址 。 


# 将 Eth2/0/1 一 Eth2/0/2 分 别 加 入 VLAN10、20，Eth2/0/0 加 入 VLAN100， 并 配置 各 VLANIF 接口 
的 下 地 址 。 下 面 配置 以 Eth2/0/1 和 VLANIF 10 接口 为 例 ， 其 他 接口 配置 类 似 

<Huawei> system-view 

[Huawei] sysname R1 

[R1] vlan batch 10 20 100 

[R1] interface ethernet 2/0/1 

[R1-Ethernet2/0/1] port link-type trunk 

[R1-Ethernet2/0/1] port trunk allow-pass vlan 10 

[R1-Ethernet2/0/1] quit 

[R1] interface vlanif 10 

[R1-Vlanifl0] ip address 192.168.1.1 255.255.255.0 

[R1-Vlanif10] quit 


步骤 2， 配置 时 间 段 。 

# 配 置 8:00 至 18:00 的 周期 时 间 段 

[R1] time-range satime 8:00 to 18:00 working-day 
步骤 3: 配置 ACL 规则 。 

# 配 置 销售 部 门 到 工资 查询 服务 器 的 访问 规则 


[R1] acl 3001 
[R1-acl-3001] mle deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.10 0.0.0.0 time-range 
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satime 
[Router-acl-3001] quit 


步骤 4: 配置 基于 ACL 的 流 分 类 。 


# 配 置 流 分 类 c xs， 对 匹配 ACL 3001 的 报 文 进行 分 类 
[R1] traffic classifier c_xs 

[Rl-classifier-c_xs] if-match acl 3001 
[R1-classifier-c_xs] quit 


步骤 5: 配置 流行 为 。 
# 配 置 流 行为 b_xs， 动 作为 拒绝 报 文通 过 
[R1] traffic behaviorb xs 


[R1-behavior-b_ xs] deny 
[Rl1-behavior-b_xs] quit 


步骤 6: 配置 流 策略 。 
# 配 置 流 策略 p_ xs， 将 流 分 类 c_xs 与 流行 为 b_xs 关联 
[R1] traffic policy p_xs 


[R1-trafficpolicy-p_xs] classifier c_xs behavior b_xs 
[R1-trafficpolicy-p_xs] quit 


步骤 7: 应 用 流 策略 。 


# 由 于 销售 部 门 访 问 服务 器 的 流量 从 接口 Eth2/0/1 进入 Router, 所 以 可 以 在 Eth2/0/1 接口 的 入 方向 应 
用 流 策 略 p_xs 

[R1] interface ethernet2/0/1 

[R1-Ethernet2/0/1] traffic-policy p_xs inbound 

[R1-Ethernet2/0/1] quit 


步骤 8: 检查 配置 结果 。 


# 查 看 ACL 规则 的 配置 信息 
[R1] display acl all 
Total quantity of nonempty ACL number is 1 


Advanced ACL 3001, 1 mle 
Acl's stepis 5 
mle 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.10 0 time-range satime(Active) 
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# 查 看 流 策略 的 应 用 信息 
[R1] display traffic-policy applied-record 
Policy Name: Dp xs 
Policy Index: 6 
Classifier:c_ xs Behavior:b xs 






*interface Ethernet2/0/1 
traffic-policy p_xs inbound 
slot 0 : Success 


【实例 2】 通 过 园区 网 络 连接 到 多 个 运营 商 时 ， 使 用 策略 路 由 实现 分 流 ， 如 图 10-35 所 示 。 







100. 120. 111. 10 







172. 16. 0.0 
企业 内 部 网 Eth2/0/O) 愉 
172. 17. 0.0 SEN 


图 10-35 ”ACL 综合 应 用 实例 2 








某 企业 通过 路 由 器 R1 连接 互联 网 ， 由 于 业务 需要 ， 与 两 家 运营 商 ISP A 和 ISP B 相连 。 
企业 网 内 的 数据 流 从 业务 类 型 上 可 以 分 为 两 类 ， 一 类 来 自 于 网 络 172.16.0.0/116， 另 一 类 来 自 于 
网 络 172.17.0.0/16。 对 于 来 自 于 172.16.0.0/16 网 络 的 数据 流 , 管理 员 希 望 其 能 够 通过 运营 商 ISP 
A 访问 Internet， 而 对 于 来 自 172.17.0.0/16 网 络 的 数据 流 ， 管 理 员 希 望 其 通过 运营 商 ISP B 访问 
Internet。 

步骤 1: 创建 ACL， 匹 配 两 个 网 段 。 








[Rl]asl2015 
[R1-acl-basic-2015]rule 5 permit source 172.16.0.0 0.0.255.255 
[Rl1-acl-basic-2015]quit 
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[R1]acl 2016 
[R1-acl-basic-2016]mle 5 permit source 172.17.0.0 0.0.255.255 
[Rl1-acl-basic-2016]quit 


步骤 2: 在 Rl 创建 流 分 类 ， 匹 配 ACL 命中 的 流量 。 


[R1]traffic classifier cl 

[R1- classifier-cl]ifmatch acl 2015 
[R1- classifier-cl]quit 

[R1]traffic classifier c2 

[R1- classifier-c2]if-match acl 2016 
[R1- classifier-c2]quit 


步骤 3: 创建 流行 为 ， 配 置 重 定向 。 


[R1]traffic behavior bl 

[R1- behavior-bl lredirect ip-nexthop 100.120.111.10 
[R1- behavior-bl]quit 

[R1]traffic behavior b2 

[R1- behavior-b2]redirect ip-nexthop 200.123.125.129 
[R1- behavior-b2]quit 


步骤 4: 创建 流 策略 ， 在 接口 上 应 用 流 策 略 。 


[R1] traffic policy pl 

[R1-trafficpolicy-p1] classifier cl behavior bl 
[R1l-tra 包 cpolicy-p1] classifier c2 behavior b2 
[R1-trafficpolicy-p1] quit 

[R1] interface Ethernet 2/0/0 

[R1- Ethernet 2/0/0] traffic pl inbound 

[R1- Ethemet 2/0/0] quit 


步骤 5: 检查 配置 。 
在 路 由 器 Rl1 上 使 用 display traffc-policy applied-record 流 策略 生效 情况 ， 通 过 检查 可 以 看 
到 两 条 流 策略 状态 都 是 success， 确 定 配置 正确 。 


[R1] display traffic-policy applied-record 


Policy Name : pl 
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Policy Index : 4 
Classifier:c1l Behaviorb1l 
Classifier:c2 Behavior:b2 


Interface Ethernet2/0/0 
traffic-policy pl inbound 

slot 15: success 

slot 5: success 
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计算 机 网 络 的 组 成 越 来 越 复杂 ， 一 方面 是 网 络 互 连 的 规模 越 来 越 大 ， 另 一 方面 是 联网 设备 
越 来 越 多 种 多 样 。 异 构 型 的 网 络 设备 、 多 协议 栈 互 连 、 性 能 需求 不 同 的 各 种 网 络 业务 更 增加 了 
网 络 管理 的 难度 和 管理 费用 ， 单 靠 管 理 员 手工 管理 已 经 无 能 为 力 。 所以, 研究 网 络 管理 的 理论 ， 
开发 先进 的 网 络 管理 技术 ， 采 用 自动 化 的 网 络 管理 工具 就 是 一 项 迫切 的 任务 了 。 本 章 讲述 网 络 
管理 系统 的 体系 结构 、 管 理 信息 库 和 SNMP 协议 、 网 络 管理 工具 的 使 用 方法 ， 以 及 网 络 系统 的 
可 靠 性 和 网 络 存储 的 基本 概念 。 


11.1 网 络 管理 系统 体系 结构 


11.1.1 网 络 管理 系统 的 层次 结构 


网 络 管理 系统 组 织 成 如 图 11-1 所 示 的 层次 结构 。 在 网 络 管理 站 中 最 下 层 是 操作 系统 和 硬 
件 。 操 作 系统 之 上 是 支持 网 络 管理 的 协议 艇 ， 例 如 OSI、TCP/P 等 通信 协议 ， 以 及 专用 于 网 络 
管理 的 SNMP、CMIP 协议 等 。 协 议 栈 上 面 是 网 络 管理 框架 (Network Management Framework )， 
这 是 各 种 网 络 管理 应 用 工作 的 基础 结构 。 
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| .| 应用 县 
网 络 管理 应 用 = 
表示 层 
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网 络 管理 框架 Sse 
传输 层 
代理 系统 蕊 这 这 提 [Re 
数据 链 路 层 
被 管理 的 资源 wma 有 
图 11-1 网 络 管理 系统 的 层次 结构 


各 种 网 络 管理 框架 的 共同 特点 如 下 。 
(1) 管理 功能 分 为 管理 站 (Manager) 和 代理 (Agent) 两 部 分 。 
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(2) 为 存储 管理 信息 提供 数据 库 支 持 ， 例 如 关系 数据 库 或 面向 对 象 的 数据 库 。 

(3) 提供 用 户 接口 和 用 户 视图 (View) 功能 ， 例 如 管理 信息 浏览 器 。 

(4) 提供 基本 的 管理 操作 ， 例 如 获取 管理 信息 、 配 置 设备 参数 等 操作 过 程 。 

网 络 管理 应 用 是 用 户 根据 需要 开发 的 软件 ， 这 种 软件 运行 在 具体 的 网 络 上 ， 实 现 特定 的 管 
理 目 标 ， 例 如 故障 诊断 和 性 能 优化 ， 或 者 业务 管理 和 安全 控制 等 。 

图 11-1 把 被 管理 资源 画 在 单独 的 框 中 ， 表 明 被 管理 资源 可 能 与 管理 站 处 于 不 同 的 系统 中 。 
网 络 管理 涉及 监视 和 控制 网 络 中 的 各 种 硬件 、 固 件 和 软件 元 素 ， 例 如 网 卡 、 集 线 器 、 中 继 器 、 
主机 、 外 围 设备 、 通 信 软 件 、 应 用 软件 和 实现 网 络 互 连 中 间 件 等 。 有 关 资 源 的 管理 信息 由 代理 
进程 控制 ， 代 理 进程 通过 网 络 管理 协议 与 管理 站 对 话 。 


11.1.2 网络 管理 系统 的 配置 


网 络 管理 系统 的 配置 如 图 11-2 所 示 。 每 一 个 网 络 节点 都 包含 一 组 与 管理 有 关 的 软件 , 叫 作 
网 络 管理 实体 (Network Management Entity, NME )。 





网 络 管理 站 Ee 
LE 











工作 站 网 络 设备 
(代理 ) (代理 ) 
图 11-2 网 络 管理 系统 配置 
网 络 管理 实体 完成 下 面 的 任务 : 


(1) 收集 有 关 网 络 通信 的 统计 信息 。 
(2) 对 本 地 设备 进行 测试 ， 记 录 设 备 状态 信息 。 
(3) 在 本 地 存储 有 关 信 息 。 
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(4) 响应 网 络 控制 中 心 的 请 求 ， 发 送 管理 信息 。 

(5) 根据 网 络 控制 中 心 的 指令 设置 或 改变 设备 参数 。 

网 络 中 至 少 有 一 个 节点 (主机 或 路 由 器 ) 担当 管理 站 的 角色 (Manager)。 除 了 NME 之 外 ， 
管理 站 中 还 有 一 组 软件 ， 叫 作 网 络 管理 应 用 (Network Management Application, NMA)。NMA 
提供 用 户 接口 ， 根 据 用 户 的 命令 显示 管理 信息 ， 通 过 网 络 向 NME 发 出 请 求 或 指令 ， 以 便 获 取 
有 关 设 备 的 管理 信息 ， 或 者 改变 设备 的 配置 状态 。 

网 络 中 的 其 他 节点 在 NME 的 控制 下 与 管理 站 通信 ， 交 换 管理 信息 。 这 些 节点 中 的 NME 
模块 叫 作 代 理 模块 ， 网 络 中 任何 被 管理 的 设备 〈 主 机 、 交 换 机 、 路 由 器 或 集线器 等 ) 都 必须 实 
现代 理 模块 。 所 有 代理 在 管理 站 监视 和 控制 下 协同 工作 ， 实 现 集成 的 网 络 管理 。 这 种 集中 式 网 
络 管理 策略 的 好 处 是 管理 人 员 可 以 有 效 地 控制 整个 网 络 资源 ， 根 据 需 要 平衡 网 络 负载 ， 优 化 网 
络 性 能 。 

然而 对 于 大 型 网 络 ， 集 中 式 管 理 往往 显得 力不从心 ， 正 在 让 位 于 分 布 式 的 网 络 管理 策略 。 
这 种 向 分 布 式 管理 演化 的 趋势 与 集中 式 计 算 模型 向 分 布 式 计算 模型 演化 的 总 趋势 是 一 致 的 。 图 
11-3 提出 了 一 种 可 能 的 分 布 式 网 络 管理 配置 方案 。 














网 络 管理 客户 端 (PC 或 工作 站 ) 






































运行 代理 进程 的 网 络 资源 ( 服务 器 、 路 由 器 .工作 站 ) 


图 11-3 分 布 式 网 络 管理 系统 


国 540 若 。 网 络 工程 师 教程 (第 5 版) 


在 这 种 配置 中 ， 分 布 式 管理 系统 代替 了 单独 的 网 络 控制 主机 。 地 理 上 分 布 的 网 络 管理 客户 
端 与 一 组 网 络 管理 服务 器 交互 作用 ， 共 同 完成 网 络 管理 功能 。 这 种 管理 策略 可 以 实现 分 部 门 管 
理 ， 即 限制 每 个 客户 端 只 能 访问 和 管理 本 部 门 的 部 分 网 络 资源 ， 而 由 一 个 中 心 管理 站 实施 全 局 
管理 。 同 时 ， 中 心 管理 站 还 能 对 管理 功能 较 弱 的 客户 端 发 出 指令 ， 实 现 更 高 级 的 管理 。 分 布 式 
网 络 管理 的 灵活 性 (Flexibility) 和 可 伸缩 性 〈Scalability) 带 来 的 好 处 日 益 为 网 络 管理 工作 者 所 
青睐 ， 这 方面 的 研究 和 开发 是 目前 网 络 管理 中 最 活跃 的 领域 。 

图 11-2 和 图 11-3 中 的 系统 要 求 每 个 被 管理 的 设备 都 能 运行 代理 程序 ， 并 且 所 有 管理 站 和 
代理 都 支持 相同 的 管理 协议 。 这 种 要 求 有 时 是 无 法 实现 的 。 例 如 ， 有 的 旧 设 备 可 能 不 支持 当前 
的 网 络 管理 标准 ， 小 的 系统 可 能 无 法 完整 实现 NME 的 全 部 功能 ， 甚 至 还 有 一 些 设备 〈 例 如 
Modem 和 多 路 器 等 ) 根本 不 能 运行 附加 的 软件 ， 把 这 些 设备 叫 作 非 标准 设备 。 在 这 种 情况 下 ， 
通常 的 处 理 方法 是 用 一 个 叫 作 委托 代理 的 设备 (Proxy) 来 管理 一 个 或 多 个 非 标准 设备 。 委 托 代 
理 和 非 标准 设备 之 间 运 行 制造 商 专用 的 协议 ， 而 委托 代理 和 管理 站 之 间 运 行 标准 的 网 络 管理 协 
议 。 这 样 ， 管 理 站 就 可 以 用 标准 的 方式 通过 委托 代理 得 到 非 标准 设备 的 信息 。 委 托 代理 起 到 了 
协议 转换 的 作用 ， 如 图 11-4 所 示 。 








专用 管理 协议 
被 管理 设备 





图 11-4 委托 代理 


11.1.3 ”网 络 管理 软件 的 结构 


这 里 所 说 的 网 络 管理 软件 包括 用 户 接口 软件 、 管 理 专用 软件 和 管理 支持 软件 ， 如 图 11-5 
所 示 ， 大 约 相当 于 图 11-1 中 管理 站 的 上 三 层 。 

用 户 通过 网 络 管理 接口 与 管理 专用 软件 交互 作用 ， 监 视 和 控制 网 络 资源 。 接 口 软件 不 仅 存 
在 于 管理 站 上 ， 而 且 也 可 能 出 现在 代理 系统 中 ， 以 便 对 网 络 资源 实施 本 地 配置 、 测 试 和 排 错 。 
有 效 的 网 络 管理 系统 需要 统一 的 用 户 接口 ， 而 不 论 主机 和 设备 出 自 何方 三 家 ， 运 行 什么 操作 系 
统 ， 这 样 才 可 以 方便 地 对 异 构 型 网 络 进行 监控 。 接 口 软件 还 要 有 一 定 的 信息 处 理 能 力 ， 对 大 量 
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的 管理 信息 要 进行 过 滤 、 统 计 、 化 简 和 汇总 ， 以 免 传 递 的 信息 量 太 大 而 阻塞 网 络 通道 。 最 后 ， 
理想 的 用 户 接口 应 该 是 图 形 用 户 接口 ， 而 非 命令 行 或 表格 形式 。 








网 络 管理 信息 表示 


网 络 管理 网 络 管理 
应 用 应 用 
应 用 元 素 应 用 元 素 | | 应 用 元 素 
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MIB 访 问 模块 通信 协议 站 


网 络 管理 信息 库 被 管理 的 网 络 


0 


图 11-5 ”网络 管理 软件 的 结构 


管理 专用 软件 画 在 图 11-5 中 心 的 大 方 框 中 。 足 够 复杂 的 网 管 软件 可 以 支持 多 种 网 络 管理 应 
用 ， 例 如 配置 管理 、 性 能 管理 和 故障 管理 等 。 这 些 应 用 能 适用 于 各 种 网 络 设备 和 网 络 配 置 ， 虽 
然 在 实现 细节 上 可 能 有 所 不 同 。 图 11-5 还 表示 出 用 大 量 的 应 用 元 素 支 持 少量 管理 应 用 的 设计 思 
想 。 应 用 元 素 实 现 通 用 的 基本 管理 功能 (例如 产生 报警 、 对 数据 进行 分 析 等 )， 可 以 被 多 个 应 
用 程序 调用 。 传 统 的 模块 化 设计 方法 可 提高 软件 的 重用 性 ， 提 高 实现 的 效率 。 网 络 管理 软件 的 
最 低层 提供 网 络 管理 数据 传输 服务 ， 用 于 在 管理 站 和 代理 之 间 交 换 管理 信息 。 管 理 站 利用 这 种 
服务 接口 可 以 检索 设备 信息 ， 配 置 设备 参数 ， 代 理 则 通过 服务 接口 向 管理 站 报告 设备 事件 。 

管理 支持 软件 包括 MIB 访问 模块 和 通信 协议 栈 。 代 理 中 的 管理 信息 库 〈Management 
Information Base，MIB) 包含 反映 设备 配置 和 设备 行为 的 信息 ， 以 及 控制 设备 操作 的 参数 。 管 
理 站 的 MIB 中 除了 保留 本 地 节点 专用 的 管理 信息 外 , 还 保存 着 管理 站 控制 的 所 有 代理 的 相关 信 
息 。MIB 访问 模块 具有 基本 的 文件 管理 功能 ， 使 得 管理 站 或 代理 可 以 访问 MIB， 同 时 该 模块 还 
能 把 本 地 的 MIB 格式 转换 为 适 于 网 络 管理 系统 传送 的 标准 格式 。 通 信 协 议 栈 支持 节点 之 间 的 通 
信 。 由 于 网 络 管理 协议 位 于 应 用 层 ， 原 则 上 任何 通信 体系 结构 都 能 胜任 ， 虽 然 具 体 的 实现 可 能 
有 特殊 的 通信 要 求 。 
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11.2 ”网 络 监控 系统 的 组 成 


网 络 管理 功能 可 分 为 网 络 监视 和 网 络 控制 两 大 部 分 , 统称 网 络 监控 (Network Monitoring)。 
网 络 监视 是 指 收集 系统 和 子 网 的 状态 信息 ， 分 析 被 管理 设备 的 行为 ， 以 便 发 现 网 络 运行 中 存在 
的 问题 。 网 络 控制 是 指 修改 设备 参数 或 重新 配置 网 络 资源 ， 以 便 改善 网 络 的 运行 状态 。 具 体 来 
说 ， 网 络 监控 要 解决 的 问题 如 下 。 

(1) 管理 信息 的 定义 。 监 视 哪些 管理 信息 ， 从 哪些 被 管理 资源 获得 管理 信息 。 

(2) 监控 机 制 的 设计 。 如 何 从 被 管理 资源 得 到 需要 的 信息 。 

(3) 管理 信息 的 应 用 。 根 据 收集 到 的 管理 信息 实现 什么 管理 功能 。 

下 面 首先 说 明 前 两 个 问题 ， 即 管理 信息 的 定义 和 监控 机 制 。 


11.2.1 管理 信息 的 组 成 


对 网 络 监控 有 用 的 管理 信息 可 以 分 为 以 下 3 类 

(1) 静态 信息 。 包 括 系统 和 网 络 的 配置 信息 ， 例 如 路 由 器 的 端口 数 和 端口 编号 ， 工 作 站 的 
标识 和 CPU 类 型 等 ， 这 些 信息 不 经 常 变化 。 

(2) 动态 信息 。 与 网 络 中 出 现 的 事件 和 设备 的 工作 状态 有 关 ， 例 如 网 络 中 传送 的 分 组 数 、 
网 络 连接 的 状态 等 。 

(3) 统计 信息 。 即 从 动态 信息 推导 出 的 信息 ， 例 如 平均 每 分 钟 发 送 的 分 组 数 、 传 输 失败 的 
概率 等 。 

这 些 信息 组 成 的 管理 信息 库 如 图 11-6 所 示 。 配 置 数 据 库 中 存储 着 计算 机 和 网 络 的 基本 配置 
信息 ， 传 感 器 数据 库 中 存储 着 传感器 的 设置 信息 。 传 感 器 是 一 组 软件 ， 用 于 实时 地 读 取 被 管理 
设备 的 有 关 参 数 。 配 置 数据 库 和 传感器 数据 库 共同 组 成 静态 数据 库 。 动 态 数 据 库 存储 着 由 传 感 
器 收集 的 各 种 网 络 元 素 和 网 络 事件 的 实时 数据 。 统 计数 据 库 中 的 管理 信息 是 由 动态 信息 计算 出 
来 的 。 图 11-6 表示 出 这 3 种 数据 库 的 关系 。 

网 络 监控 功能 一 方面 要 确定 从 哪里 收集 管理 信息 ， 另 一 方面 还 要 确定 管理 信息 应 该 存储 在 
什么 地 方 。 静 态 信息 是 由 网 络 元 素 直接 产生 的 ， 通 常 由 驻 留 在 这 些 网 络 元 素 〈 例 如 路 由 器 ) 中 
的 代理 进程 收集 和 存储 , 必要 时 传送 给 监视 器 。 如果 网 络 元 素 (例如 Modem) 中 没有 代理 进程 ， 
则 可 以 由 委托 代理 收集 这 些 静 态 信 息 ， 并 传送 给 监视 器 。 

动态 信息 通常 也 是 由 产生 有 关 事件 的 网 络 元 素 收集 和 存储 的 。 例 如 ， 工 作 站 建立 的 网 络 连 
接 数 就 存储 在 该 工作 站 中 。 然 而 对 于 一 个 局 域 网 来 说 ， 网 络 中 各 个 设备 的 行为 和 有 关 数 据 可 以 
由 连接 在 网 络 中 的 一 个 专用 主机 来 收集 和 记录 ， 这 个 主机 叫 作 远程 网 络 监视 器 ， 它 的 作用 是 收 
集 整个 子 网 的 通信 数据 ， 例 如 一 段 时 间 内 一 对 主机 交换 的 分 组 数 ， 或 网 络 中 出 现 的 冲突 次 数 等 。 
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图 11-6 管理 信息 库 的 组 成 





统计 信息 可 以 由 任何 能 够 访问 动态 信息 的 系统 产生 。 当 然 ， 统 计 信息 也 可 以 由 网 络 监视 器 
自己 产生 ， 这 就 要 求 把 所 有 需要 的 原始 数据 传送 给 监视 器 ， 再 由 监视 器 进行 分 析 和 计算 。 如 果 
原始 数据 的 量 很 大 ， 则 这 种 监控 方式 可 能 会 消耗 很 多 网 络 带宽 。 如 果 对 存储 动态 信息 的 系统 进 
行 了 分 析 和 计算 ， 则 不 仅 节约 了 网 络 带宽 ， 而 且 也 节省 了 监视 器 的 处 理 时 间 。 

11.2.2 ”网络 监控 系统 的 配置 


网 络 监控 系统 的 配置 如 图 11-7 (a) 所 示 。 监 控 应 用 程序 是 监控 系统 的 用 户 接口 ， 它 完成 
性 能 监视 、 故 障 监视 和 计 费 监视 等 功能 。 管 理 功能 负责 与 其 他 网 络 元 素 中 的 代理 进程 通信 ， 把 
需要 的 监控 信息 提供 给 监控 应 用 程序 。 这 两 个 模块 都 处 于 管理 站 中 。 管 理 对 象 表示 被 监控 的 网 
络 资源 中 的 管理 信息 ， 所 有 管理 对 象 遵 从 网 络 管理 标准 的 规定 。 管 理 对 象 中 的 信息 通过 代理 功 
能 提供 给 管理 站 。 图 11-7 (b) 中 增加 了 监控 代理 功能 。 这 个 模块 的 作用 是 专门 对 管理 信息 进 
行 计算 和 统计 分 析 ， 并 且 把 计算 的 结果 提供 给 管理 站 。 在 管理 站 来 看 ， 监 控 代理 的 作用 和 一 般 
代理 是 一 样 的 ， 然 而 它 管理 着 多 个 代理 系统 。 
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图 11-7 ”网 络 监控 系统 的 体系 结构 


实际 上 ， 这 些 功 能 模块 可 以 处 于 不 同 的 网 络 元 素 中 ， 组 成 多 种 形式 的 监控 系统 。 如 果 管 理 
站 本 身 就 是 一 个 被 监控 的 网 络 元 素 ， 则 它 应 该 包含 监控 应 用 程序 、 管 理 功能 、 代 理 进程 以 及 一 
组 反映 自身 管理 信息 的 对 象 。 监 视 器 的 状态 和 行为 对 整个 网 络 监控 系统 的 性 能 起 决定 作用 ， 因 
而 监视 器 也 应 该 时 刻 监视 自身 的 通信 情况 。 一 般 情 况 下 ， 监 视 器 与 代理 系统 处 于 不 同 的 网 络 元 
素 中 ， 它 们 通过 网 络 交换 管理 信息 。 另 外 ， 一 个 管理 站 /监视 器 可 以 监控 多 个 代理 系统 ， 也 可 以 
只 监控 一 个 代理 系统 ， 而 一 个 代理 系统 可 能 代理 一 个 或 多 个 网 络 元 素 ， 甚 至 代理 整个 局 域 网 ; 
监视 器 可 能 与 被 监控 的 网 络 元 素 处 于 同一 子 网 中 ， 也 可 能 通过 远程 网 络 互 连 。 

11.2.3 网络 监 控 系 统 的 通信 机 制 


对 监视 器 有 用 的 管理 信息 是 由 代理 收集 和 存储 的 ， 那 么 代理 怎样 把 这 些 信息 传送 给 监视 器 
呢 ? 有 两 种 技术 可 用 于 代理 和 监视 器 之 间 的 通信 。 一 种 叫 作 轮 询 (Polling)， 另 一 种 叫 作 事件 报 
告 (Event Reporting)。 轮 询 是 一 种 请 求 一 响应 式 的 交互 作用 ， 即 由 监视 器 向 代理 发 出 请 求 ， 询 
问 它 所 需要 的 信息 数值 , 代理 响应 监视 器 的 请 求 , 从 它 所 保存 的 管理 信息 库 中 取得 请 求 的 信息 ， 
返回 给 监视 器 。 请 求 可 以 采用 各 种 不 同 的 形式 ， 例 如 列 出 一 些 变量 的 名 字 ， 要 求 代理 返回 变量 
的 值 。 或 者 给 出 一 种 匹配 模式 ， 要 求 代理 搜索 与 模式 匹配 的 所 有 变量 的 值 。 监 视 器 可 能 要 查询 
它 所 管理 的 系统 的 配置 ， 或 者 周期 地 询问 被 管理 系统 配置 改变 的 情况 ;监视 器 也 可 能 在 收 到 一 
个 报警 后 用 轮 询 方式 详细 调查 某 个 区 域 的 真实 情况 ， 或 者 根据 用 户 的 要 求 通过 轮 询 生 成 一 个 配 
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管 报 


mR 


第 件 报告 是 由 代理 主动 发 送 给 管理 站 的 消息 。 代理 可 以 根据 管理 站 的 要 求 ( 周 期 、 内容 等 ) 
定时 地 发 送 状 态 报告 ， 也 可 能 在 检测 到 某 些 特定 事件 (例如 状态 改变 ) 或 非 正常 事件 〈 例 如 出 
现 故 障 ) 时 生成 事件 报告 ， 发 送 给 管理 站 。 事 件 报告 对 于 及 时 发 现 网 络 中 的 问题 是 很 有 用 的 ， 
特别 是 对 于 监控 状态 信息 不 经 常 改 变 的 管理 对 象 更 有 效 。 

在 已 有 的 各 种 网 络 监控 系统 中 都 设置 了 轮 询 和 事件 报告 两 种 通信 机 制 ， 但 强调 的 重点 有 所 
不 同 。 传 统 的 通信 管理 网 络 主要 依赖 事件 报告 ， 而 SNMP 强调 轮 询 方法 ，OSI 系 统管 理 则 采取 
了 这 两 种 极端 方法 的 中 间 道 路 。 然 而 无 论 是 SNMP 或 是 OSI， 以 及 某 些 专用 的 管理 系统 都 允许 
用 户 根据 具体 情况 决定 使 用 何 种 通信 方式 。 影 响 通信 方式 选择 的 主要 因素 如 下 。 

(1) 传送 监控 信息 需要 的 通信 量 。 

(2) 对 危急 情况 的 处 理 能 力 。 

(3) 对 网 络 管理 站 的 通信 时 延 。 

(4) 被 管理 设备 的 处 理工 作 量 。 

(5) 消息 传输 的 可 靠 性 。 

(6) 网 络 管理 应 用 的 特殊 性 。 

(7) 在 发 送 消息 之 前 通信 设备 失效 的 可 能 性 。 


11.3 ”网 络 管理 功能 域 


jn 





网 络 管理 有 5 大 功能 域 ， 即 故障 管理 (Fault Management)、 配 置 管理 (Configuration 
Management)、 计 费 管 理 〈Accounting Management)、 性 能 管理 (Performance Management) 和 
安全 管理 (Security Management)， 简 写 为 F-CAPS。 传 统 上 ， 性 能 、 故 障 和 计 费 管理 属于 网 络 
监视 功能 ， 另 外 两 种 属于 网 络 控制 功能 。 


11.3.1 ”性 能 管理 


网 络 监 视 中 最 重要 的 是 性 能 监视 , 然而 要 能 够 准确 地 测量 出 对 网 络 管理 有 用 的 性 能 参数 却 
是 不 容易 的 。 可 选择 的 性 能 指标 很 多 ， 有 些 很 难 测量 ， 或 计算 量 很 大 ， 但 不 一 定 很 有 用 ;有 些 
有 用 的 指标 则 没有 得 到 制造 商 的 支持 , 无 法 从 现 有 的 设备 上 检测 到 。 还 有 些 性 能 指标 互相 关联 ， 
要 互相 参照 才能 说 明 问 题 。 这 些 情 况 都 增加 了 性 能 测量 的 复杂 性 。 这 一 小 节 介绍 性 能 管理 的 基 
本 概念 ， 给 出 对 网 络 管理 有 用 的 两 类 性 能 指标 : 面向 服务 的 性 能 指标 和 面向 效率 的 性 能 指标 。 
当然 ， 网 络 最 主要 的 目标 是 向 用 户 提供 满意 的 服务 ， 因 而 面向 服务 的 性 能 指标 应 具有 较 高 的 优 
先 级 。 下 面前 3 个 指标 是 面向 服务 的 性 能 指标 ， 后 两 个 是 面向 效率 的 性 能 指标 。 
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1. 可 用 性 


可 用 性 是 指 网 络 系统 、 网 络 元 素 或 网 络 应 用 对 用 户 可 利用 的 时 间 的 百分比 。 有 些 应 用 对 可 
用 性 很 敏感 ， 例 如 飞机 订 票 系统 ， 若 宕 机 一 小 时 ， 就 可 能 减少 数 十 万 元 的 票 款 ; 而 股票 交易 系 
统 如 果 中 断 运行 一 分 钟 ， 就 可 能 造成 几 千 万 元 的 损失 。 实 际 上 ， 可 用 性 是 网 络 元 素 可 靠 性 的 表 
现 ， 而 可 靠 性 是 指 网 络 元 素 在 具体 条 件 下 完成 特定 功能 的 概率 。 如 果 用 平均 无 故障 时 间 MTBF 
(Mean Time Between Failure) 来 度量 网 络 元 素 的 故障 率 ， 则 可 用 性 4 可 表示 为 MTBF 的 函数 。 

MTBF 
~ MTBF+ MTTR 
其 中 ，MTTR (Mean Time To Repair) 为 发 生 失 效 后 的 平均 维修 时 间 。 由 于 网 络 系统 由 许多 网 
络 元 素 组 成 , 所 以 系统 的 可 靠 性 不 仅 与 各 个 元 素 的 可 靠 性 有 关 , 还 与 网 络 元 素 的 组 织 形 式 有 关 。 
根据 一 般 可 靠 性 理论 ， 由 元 素 串 、 并 联 组 成 的 系统 的 可 用 性 与 网 络 元 素 的 可 用 性 之 间 的 关系 如 
图 11-8 所 示 。 从 图 11-8 (a) 可 以 看 出 ， 若 两 个 元 素 串 联 ， 则 可 用 性 减少 。 例 如 ， 两 个 Modem 
串联 在 链 路 的 两 端 ， 若 单个 Modem 的 可 用 性 4=0.98， 并 假定 链 路 其 他 部 分 的 可 用 性 为 1， 则 
整个 链 路 的 可 用 性 4=0.98X0.98=0.9604。 从 图 11-8 (b) 可 以 看 出 ， 若 两 个 元 素 并 联 ， 则 可 用 
性 增加 。 例 如 ， 终 端 通过 两 条 链 路 连接 到 主机 ， 若 一 条 链 路 失效 ， 另 外 一 条 链 路 自动 备份 。 假 
定单 个 链 路 的 可 用 性 4=0.98， 则 双 链 路 的 可 用 性 
A=2 X 0.98-0.98X0.98=1.96-0.960 4=0.9996 


4 
六 24 一 全 
4 [4 


(a) 串联 (b) 并 联 
图 11-8 ”品行 和 并 行 连接 的 可 用 性 














【 例 11.1】 计算 双 链 路 并 联系 统 的 处 理 能 力 。 假定 一 个 多 路 器 通过 两 条 链 路 连接 到 主机 (如 
图 11-8 (b) 所 示 )。 在 主机 业务 的 峰值 时 段 ， 一 条 链 路 只 能 处 理 总 业务 量 的 80%， 因 而 需要 两 
条 链 路 同时 工作 才能 处 理 主机 的 全 部 传送 请 求 。 非 峰值 时 段 大 约 占 整个 工作 时 间 的 40%， 只 需 
要 一 条 链 路 工作 就 可 以 处 理 全 部 业务 。 这 样 ， 整 个 系统 的 可 用 性 4/ 可 表示 如 下 : 
4/=〈 一 条 链 路 的 处 理 能 力 ) X 〈 一 条 链 路 工作 的 概率 ) 十 
(两 条 链 路 的 处 理 能 力 )X 〈 两 条 链 路 工作 的 概率 ) 
假定 一 条 链 路 的 可 用 性 为 4=0.9,， 则 两 条 链 路 同时 工作 的 概率 为 4=0.81, 而 恰好 有 一 条 链 
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路 工作 的 概率 为 4 (1-4) + (1-4) 4-24-242-0.18。 则 有 
A ( 非 峰值 时 段 ) =1.0X0.18+1.0X0.81=0.99 
Af〈 峰 值 时 段 )=0.8X0.18+1.0X0.81=0.954 
于 是 系统 的 平均 可 用 性 为 
A410.6XA4 (峰值 时 段 ，+0.4XA4j ( 非 峰 值 时 段 ) =0.9684 


2， 响 应 时 间 


响应 时 间 是 指 从 用 户 输入 请 求 到 系统 在 终端 上 返回 计算 结果 的 时 间 间 隔 。 从 用 户 角度 看 ， 
这 个 时 间 要 和 人 们 的 思考 时 间 (等 于 两 次 输入 之 间 的 最 小 间隔 时 间 ) 配合 , 越 是 简单 的 工作 ( 例 
如 数据 输入 ) 要 求 响应 时 间 越 短 。 然 而 从 实现 角度 看 ， 响 应 时 间 越 短 ， 实 现 的 代价 越 大 。 研 究 
表明 ， 系 统 响应 时 间 对 人 的 生产 率 的 影响 是 很 大 的 。 在 交互 式 应 用 中 ， 响 应 时 间 大 于 15s， 大 多 
数 人 是 不 能 容忍 的 。 响应 时 间 大 于 4s 时 , 人 们 的 短期 记忆 会 受到 影响 , 工作 的 连续 性 会 被 破坏 。 
尤其 是 对 数据 输入 人 员 来 说 ， 这 种 情况 下 击 键 的 速度 会 严重 受挫 ， 只 是 在 输入 完 一 个 段落 后 才 
可 以 有 比较 大 的 延迟 (例如 4s 以 上 )。 越 是 注意 力 高 度 集中 的 工作 ， 要 求 响应 时 间 越 短 。 特 别 
是 对 于 需要 记 住 以 前 的 响应 ， 根 据 前 面 的 响应 决定 下 一 步 的 输入 时 ， 延 迟 时 间 应 该 小 于 2s。 在 
用 鼠标 单 击 图 形 或 进行 键盘 输入 时 ， 要 求 的 响应 时 间 更 小 ， 可 能 在 0.1s 以 下 。 这 样 人 们 会 感到 
计算 机 是 同步 工作 的 ， 几 乎 没有 等 待 时 间 。 图 11-9 表示 应 用 CAD 进行 集成 电路 设计 时 生产 
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图 11-9 系统 响应 时 间 与 生产 率 的 关系 
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率 (每 小 时 完成 的 事务 处 理 数 ) 与 响应 时 间 的 关系 。 可 以 看 出 ， 当 响应 时 间 小 于 1s 时 事务 处 理 





的 速率 明显 加 快 ， 这 和 人 的 短期 记忆 以 及 注意 力 集中 的 程度 有 关 。 
网 络 的 响应 时 间 由 系统 各 个 部 分 的 处 理 延 迟 时 间 组 成 , 分 解 系统 响应 时 间 的 成 分 对 于 确定 
系统 瓶颈 有 用 。 图 11-10 表示 出 系统 响应 时 间 RT 由 7 部 分 组 成 。 


T=== DO WO 









机 | manas (网 桥 ) 服 和 于 
| | 
TI CPU 


RT=THWIHSHCPU+WO+SO+TO 


RT: 响应 时 间 CPU: CPU 处 理 延 迟 
TI: 入 口 终端 延迟 WO: 出 口 排队 时 间 
WI: 入 口 排 队 时 间 SO: 出 口服 务 时 间 
SI: 入 口服 务 时 间 TO: 出 口 终端 延迟 


图 11-10 系统 响应 时 间 的 组 成 


。 入 口 终端 延迟 : 指 从 终端 把 查询 命令 送 到 通信 线路 上 的 延迟 。 终 端 本 身 的 处 理 时 间 是 
很 短 的 ， 这 个 延迟 主要 是 由 从 终端 到 网 络 接口 设备 (例如 PAD 设备 或 网 桥 ) 的 通信 线 


路 纪 
3.33 


| 起 的 传输 延迟 。 假 若 线路 数据 速率 为 2400bps=300BPS， 则 每 个 字符 的 时 延 为 
hs。 假 如 平均 每 个 命令 含 100 个 字符 ， 则 输入 命令 的 延迟 时 间 为 0.33s。 





。 ”入口 排队 时 间 : 即 网 络 接口 设备 的 处 理 时 间 。 接 口 设备 要 处 理 多 个 终端 输入 ， 还 要 处 
理 提交 给 终端 的 输出 ， 所 以 输入 的 命令 通常 要 进入 缓冲 区 排队 等 待 。 接 口 设 备 越 忙 ， 
排队 时 间 越 长 。 

。 入 口服 务 时 间 : 指 从 网 络 接口 设备 通过 传输 网 络 到 达 主 机 前 端的 时 间 ， 对 于 不 同 的 网 


络 ， 





这 个 传输 时 间 的 差别 是 很 大 的 。 如 果 是 公共 交换 网 ， 这 个 时 延 是 无 法 控制 的 ;如 


果 是 专用 网 、 租 用 专线 或 用 户 可 配置 的 设备 ， 这 个 时 延 还 可 以 进一步 分 解 ， 以 便 按 照 
需要 规划 和 控制 网 络 。 

。 CPU 处 理 延迟 : 前 端 处 理 机 、 主 机 和 磁盘 等 设备 处 理 用 户 命令 、 做 出 回答 需要 的 时 间 。 
这 个 时 间 通 常 是 管理 人 员 无 法 控制 的 。 

。 出 口 排队 时 间 : 在 前 端 处 理 机 端口 等 待 发 送 到 网 络 上 去 的 排队 时 间 。 这 个 时 间 与 入 口 
排队 时 间 类 似 ， 其 长 短 取决 于 前 端 处 理 机 繁忙 的 程度 。 
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。 出 口服 务 时 间 : 通过 网 络 把 响应 报 文 传送 到 网 络 接口 设备 的 处 理 时 间 。 
。 出 口 终 端 延 迟 : 终端 接收 响应 报 文 的 时 间 ， 主 要 是 由 通信 延迟 引起 的 。 
响应 时 间 是 比较 容易 测量 的 ， 是 网 络 管理 中 重要 的 管理 信息 。 


3. 正确 性 


这 是 指 网 络 传输 的 正确 性 。 由 于 网 络 中 有 内 置 的 纠 错 机 制 ， 所 以 通常 用 户 不 必 考 虑 数据 传 
输 是 否 正 确 。 但 是 ， 监 视 传输 误 码 率 可 以 发 现 瞬 时 的 线路 故障 ， 以 及 是 否 存 在 噪声 源 和 通信 干 
扰 ， 以 便 及 时 采取 维护 措施 。 


4. 香 吐 率 


大 吐 率 是 面向 效率 的 性 能 指标 ,具体 表现 为 一 段 时 间 内 完成 的 数据 处 理 量 (Mbps 或 分 组 
数 每 秒 )， 或 者 接受 用 户 会 话 的 数量 ， 或 者 处 理 呼 叫 的 数量 等 。 跟 踪 这 些 指标 可 以 为 提高 网 络 
传输 效率 提供 依据 。 


5. 利用 率 


利用 率 是 指 网 络 资源 利用 的 百分率 ， 它 也 是 面向 效率 的 指标 。 这 个 参数 与 网 络 负载 有 关 ， 
当 负 和 载 增加 时 ， 资 源 利用 率 增 大 ， 因 而 分 组 排队 时 间 和 网 络 响应 时 间 变 长 ， 甚 至 会 引起 春 吐 率 
降低 。 当 相对 负载 (负载 /容量 ) 增加 到 一 定 程度 时 ， 响 应 时 间 迅 速 增长 ， 从 而 引发 传输 瓶颈 和 
网 络 拥挤 。 图 11-11 表示 响应 时 间 随 相对 负载 呈 指 数 上 升 的 情况 。 特 别 值得 注意 的 是 ， 实 际 情 
况 往往 与 理论 计算 结果 相左 ， 造 成 失去 控制 的 通信 阻塞 ， 这 是 应 该 设法 避免 的 ， 所 以 需要 更 精 
确 的 分 析 技 术 。 


响应 时 间 (S) 








一 一 一 实际 响应 时 间 


预计 响应 时 间 
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图 11-11 网 络 响应 时 间 与 负载 的 关系 
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下 面 介绍 一 种 简单 而 有 效 的 分 析 方 法 ， 可 以 正确 地 评价 网 络 资源 的 利用 情况 。 基 本 的 思想 
是 观察 链 路 的 实际 通信 量 〈 负 载 )， 并 且 与 规划 的 链 路 容量 (数据 速率 ) 比较 ， 从 而 发 现 哪些 
链 路 使 用 过 度 ， 哪 些 链 路 利用 不 足 。 分 析 方法 使 用 了 会 计 工 作 中 常用 的 成 本 分 析 技 术 ， 即 计算 
实际 的 费用 占 计 划 成 本 的 比例 ， 从 而 发 现实 际 情况 与 理想 情况 的 偏差 。 对 于 网 络 分 析 来 说 ， 就 
是 计算 出 各 个 链 路 的 负载 占 网 络 总 负载 的 百分率 〈 相 对 负载 )， 以 及 各 个 链 路 的 容量 占 网 络 总 
容量 的 百分率 〈 相 对 容量 )， 最 后 得 到 相对 负载 与 相对 容量 的 比值 。 这 个 比值 反映 了 网 络 资源 
的 相对 利用 率 。 

假定 有 图 11-12 (a) 所 示 的 简单 网 络 ， 由 5 段 链 路 组 成 。 表 11-1 中 列 出 了 各 段 链 路 的 负载 
和 各 段 链 路 的 容量 ， 并 且 计 算出 了 各 段 链 路 的 负载 百分率 和 容量 百分率 ， 图 11-12 (b) 是 对 应 
的 图 形 表 示 。 可 以 看 出 ， 网 络 规划 的 容量 (400kbps) 比 实际 的 通信 量 (200kbps) 大 得 多 ， 而 
且 没 有 一 条 链 路 的 负载 大 于 它 的 容量 。 但 是 ， 各 个 链 路 的 相对 利用 率 〈 相 对 负载 /相对 容量 ) 不 
同 ， 有 的 链 路 使 用 得 太 频 繁 〈 例 如 链 路 3，25/15=1.67)， 而 有 的 链 路 利用 不 足 〈 例 如 链 路 $， 
25/45=0.55)。 这 个 差别 是 有 用 的 管理 信息 ， 它 可 以 指导 我 们 如 何 调整 各 段 链 路 的 容量 ， 获 得 更 
合理 的 负载 分 布 和 链 路 利用 率 ， 从 而 减少 资源 浪费 ， 提 高 性 能 价格 比 。 




















链 路 1 





链 路 3 
(a) 网 络 配置 (b) 链 路 空 量 和 负载 
mm 各 相 x 二 负 二 
链 路 相对 容量 


图 11-12 网络 利用 率 分 析 


表 11-1 网 络 负载 和 容量 分 析 





负载 (kbps) 

容量 (kbps) 

负载 百分率 

容量 百分率 
相对 负载 /相对 容量 
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收集 到 的 性 能 参数 组 织 成 性 能 测试 报告 ， 以 图 形 或 表格 的 形式 呈现 给 网 络 管理 员 。 对 于 局 
域 网 来 说 ， 性 能 测试 报告 应 包括 以 下 内 容 。 
。 主机 对 通信 和 抢 阵 。 一 对 源 主机 和 目标 主机 对 之 间 传 送 的 总 分 组 数 、 数 据 分 组 数 、 数 据 
字 节 数 以 及 它们 所 占 的 百分比 。 
。 主机 组 通信 符 阵 。 一 组 主机 之 间 通 信 量 的 统计 ， 内 容 与 上 一 条 类 似 。 
。 分 组 类 型 直方 图 。 各 种 类 型 的 原始 分 组 〈 例 如 广播 分 组 、 组 播 分 组 等 ) 的 统计 信息 ， 
用 直方 图 表示 。 
。 ”数据 分 组 长 度 直方 图 。 不 同 长 度 〈 字 节 数 ) 的 数据 分 组 的 统计 。 
。  ” 春 吐 率 一 一 利用 率 分 布 。 各 个 网 络 节点 发 送 /接收 的 总 字 节 数 和 数据 字 节 数 的 统计 。 
。 ”分 组 到 达 时 间 直 方 图 。 不 同时 间 到 达 的 分 组 数 的 统计 。 
。 ”信道 获取 时 间 直 方 图 。 在 网 络 接口 单元 (NIU) 排队 等 待 发 送 、 经 过 不 同 延迟 时 间 的 
分 组 数 的 统计 。 
。 通信 延迟 直方 图 。 从 发 出 原始 分 组 到 分 组 到 达 目 标的 延迟 时 间 的 统计 。 
。 ”冲突 计数 直方 图 。 经 受 不 同 冲 突 次 数 的 分 组 数 的 统计 。 
。 ”传输 计数 直方 图 。 经 过 不 同 试 发 送 次 数 的 分 组 数 的 统计 。 
另外 ， 还 应 包括 功能 全 面 的 性 能 评价 程序 (对 网 络 当 前 的 运行 状态 进行 分 析 ) 和 人 工 负载 
生成 程序 (产生 性 能 测试 数据 )， 帮 助 管理 人 员 进 行 管理 决策 。 


11.3.2 ”故障 管理 


故障 监视 就 是 要 尽快 地 发 现 故 障 ， 找 出 故障 原因 ， 以 便 及 时 采取 补救 措施 。 在 复杂 的 系统 
中 ， 发 现 和 诊断 故障 是 不 容易 的 。 首 先是 有 些 故障 很 难 观察 到 ， 例 如 分 布 处 理 中 出 现 的 死 锁 就 
很 难 发 现 。 其 次 是 有 些 故障 现象 不 足以 表明 故障 原因 ， 例 如 发 现 远程 节点 没有 响应 ， 但 是 否 低 
层 通信 协议 失效 不 得 而 知 。 更 有 些 故 障 现象 具有 不 确定 性 和 不 一 致 性 ， 引 起 故障 的 原因 很 多 
使 得 故障 定位 复杂 化 。 例 如 ， 终 端 死机 、 线 路 中 断 、 网 络 拥塞 或 主机 故障 都 会 引起 同样 的 故障 
现象 ， 到 底 问 题 出 在 哪儿 ， 需 要 复杂 的 故障 定位 手段 。 故 障 管理 可 分 为 以 下 3 个 功能 模块 。 

(1) 故障 检测 和 报警 功能 。 故 障 监视 代理 要 随时 记录 系统 出 错 的 情况 和 可 能 引起 故障 的 事 
件 ， 并 把 这 些 信 息 存储 在 运行 日 志 数 据 库 中 。 在 采用 轮 询 通信 的 系统 中 ， 管 理应 用 程序 定期 访 
问 运行 日 志 记录 ， 以 便 发 现 故障 。 为 了 及 时 检测 重要 的 故障 问题 ， 代 理 也 可 以 主动 向 有 关 管 理 
站 发 送出 错 事件 报告 。 另 外 ， 对 出 错 报告 的 数量 、 频 率 要 有 适当 地 控制 ， 以 免 加 重 网 络 负载 。 

(2) 故障 预测 功能 。 对 各 种 可 以 引起 故障 的 参数 建立 门限 值 ， 并 随时 监视 参数 值 变 化 ， 一 
且 超 过 门限 值 ， 就 发 送 警 报 。 例 如 ， 由 于 出 错 产生 的 分 组 碎片 数 超过 一 定 值 时 发 出 警报 ， 表 示 
线路 通信 恶化 ， 出 错 率 上 升 。 
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(3) 故障 诊断 和 定位 功能 。 即 对 设备 和 通信 线路 进行 测试 ， 找 出 故障 原因 和 故障 地 点 ， 例 
如 可 以 进行 下 列 测试 。 

。 ”连接 测试 。 

。 数据 完整 性 测试 。 

。 协议 完整 性 测试 。 

。 数据 饱和 测试 。 

。 ”连接 饱和 测试 。 

。 环 路 测试 。 

。 ”功能 测试 。 

。 诊断 测试 。 

故障 监视 还 需要 有 效 的 用 户 接口 软件 ， 使 得 故障 发 现 、 诊 断 、 定 位 和 排除 等 一 系列 操作 都 
可 以 交互 地 进行 。 


11.3.3 ” 计 费 管理 


计 费 监视 主要 是 跟踪 和 控制 用 户 对 网 络 资源 的 使 用 , 并 把 有 关 信息 存储 在 运行 日 志 数据 库 
中 ， 为 收费 提供 依据 。 不 同 的 系统 ， 对 计 费 功能 要 求 的 详尽 程度 也 不 一 样 。 在 有 些 提供 公共 服 
务 的 网 络 中 ， 要 求 收集 的 计 费 信息 很 详细 、 很 准确 ， 例 如 要 求 对 每 一 种 网 络 资源 、 每 一 分 钟 的 
使 用 、 传 送 的 每 一 个 字 节 数 都 要 计 费 ， 或 者 要 求 把 费用 分 排 给 每 一 个 账号 、 每 一 个 项 目 ， 甚 至 
每 一 个 用 户 。 而 有 的 内 部 网 络 就 不 一 定 要 求 这 样 细 了 ， 只 要 求 把 总 的 运行 费用 按 一 定 比例 分 配 
给 各 个 部 门 就 可 以 了 。 需 要 计 费 的 网 络 资源 如 下 。 

。 通信 设施 。LAN、WAN、 租 用 线路 或 PBX 的 使 用 时 间 。 

。 计算 机 硬件 。 工 作 站 和 服务 器 机 时 数 。 

。 软件 系统 。 下 载 的 应 用 软件 和 实用 程序 的 费用 。 

。 服务 。 包 括 商业 通信 服务 和 信息 提供 服务 〈 发 送 /接收 的 字 节 数 )。 

计 费 数据 组 成 计 费 日 志 ， 其 记录 格式 应 包括 下 列 信息 。 

。 用户 标 识 。 

。 连接 目标 的 标识 符 。 

。 ”传送 的 分 组 数 / 字 节 数 。 

。 ”安全 级 别 。 

。 时间 戳 。 

。 ”指示 网 络 出 错 情况 的 状态 码 。 

。 使 用 的 网 络 资源 。 
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11.3.4 ”配置 管理 


置 管理 是 指 初始 化 、 维 护 和 关闭 网 络 设备 或 子 系统 .被 管理 的 网 络 资源 包括 物理 设备 ( 例 
如 服务 器 、 路 由 器 ) 和 底层 的 逻辑 对 象 ( 例 如 传输 层 定 时 器 )。 配 置 管 理 功能 可 以 设置 网 络 参 
数 的 初始 值 /默认 值 ， 使 网 络 设备 初始 化 时 自动 形成 预定 的 互联 关系 。 当 网 络 运行 时 ， 配 置 管理 
监视 设备 的 工作 状态 , 并 根据 用 户 的 配置 命令 或 其 他 管理 功能 的 请 求 改变 网 络 配置 参数 。 例 如 ， 
若 性 能 管理 检测 到 响应 时 间 延 长 ， 并 分 析出 性 能 降级 的 原因 是 由 于 负载 失衡 ， 则 配置 管理 将 通 
过 重新 配置 〈 例 如 改变 路 由 表 ) 改善 系统 响应 时 间 。 又 例如 ， 故 障 管理 检测 到 一 个 故障 ， 并 确 
定 了 故障 点 ， 则 配置 管理 可 以 改变 配置 参数 ， 把 故障 点 隔离 ， 恢 复 网 络 正常 工作 。 配 置 管理 应 
包含 下 列 功能 模块 。 
。 定义 配置 信息 。 
。 设置 和 修改 设备 属性 。 
。 ”定义 和 修改 网 络 元 素 间 的 互联 关系 。 
。 ”启动 和 终止 网 络 运行 。 
。 ”发行 软 件 。 
。 aa 
置 现 状 。 
Was 监视 功能 ， 即 管理 站 通过 轮 询 随 时 访问 代理 保存 的 配置 信息 ， 或 者 代理 
通过 事件 报告 及 时 向 管理 站 通知 配置 参数 改变 的 情况 。 下 面 解释 配置 控制 的 其 他 功能 。 


1， 定义 配置 信息 





配置 信息 描述 网 络 资源 的 特征 和 属性 ， 这 些 信息 对 其 他 管理 功能 是 有 用 的 。 网 络 资源 包括 
物理 资源 (例如 主机 、 路 由 器 、 网 桥 、 通 信和 链 路 和 Modem 等 ) 和 风 辑 资源 (例如 定时 器 、 计 
数 器 和 虚 电 路 等 )。 设 备 的 属性 包括 名 称 、 标 识 符 、 地 址 、 状 态 、 操 作 特 点 和 软件 版 本 。 配 置 
信息 可 以 有 多 种 组 织 方式 。 简 单 的 配置 信息 组 织 成 由 标量 组 成 的 表 ， 每 一 个 标量 值 表示 一 种 属 
性 值 ，SNMP 采用 这 种 方法 。 在 OSI 系统 管理 中 ， 管 理 信息 定义 为 面向 对 象 的 数据 库 。 对 象 的 
值 表示 被 管理 设备 的 特性 ， 对 象 的 行为 《例如 通知 ) 代表 了 管理 操作 ， 对 象 之 间 的 包含 关系 和 
继承 关系 则 规范 了 它们 之 间 的 互相 作用 。 另 外 ， 还 有 一 些 系统 用 关系 数据 库 表 示 管 理 信息 

管理 信息 存储 在 与 被 管理 设备 最 接近 的 代理 或 委托 代理 中 ， 管 理 让 通过 轮 询 或 事件 报告 访 
问 这 些 信息 。 网 络 管理 员 可 以 在 管理 站 提供 的 用 户 界 面 上 说 明 管 理 信息 值 的 范围 和 类 型 ， 用 于 
设置 被 管理 资源 的 属性 。 网 络 控制 功能 还 允许 定义 新 的 管理 对 象 ， 在 指定 的 代理 中 生成 需要 的 
管理 对 象 或 数据 元 素 。 产 生 新 数据 的 过 程 可 以 是 联机 的 、 动 态 的， 或 是 脱 机 的 、 静 态 的 。 
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2. 设置 和 修改 属性 





配置 管理 允许 管理 站 远程 设置 和 修改 代理 中 的 管理 信息 值 , 但 是 修改 操作 要 受到 下 面 两 种 
限制 : 
(1) 只 有 授权 的 管理 站 才 可 以 实行 修改 操作 ， 这 是 网 络 安全 所 要 求 的 。 
(2) 有 些 属性 值 反映 了 硬件 配置 的 实际 情况 ， 是 不 可 改变 的 ， 例 如 主机 CPU 类 型 、 路 由 
器 的 端口 数 等 。 
对 配置 信息 的 修改 可 以 分 为 以 下 3 种 类 型 : 
。 ”只 修改 数据 库 。 管 理 站 向 代理 发 送 修改 命令 ， 代 理 修改 配置 数据 库 中 的 一 个 或 多 个 数 
据 值 。 如 果 修 改 操 作成 功 ， 则 向 管理 站 返回 肯定 应 答 ， 否 则 返回 否定 应 答 ， 在 这 个 交 
互 过 程 中 不 发 生 其 他 作用 。 例如 , 管理 站 通过 修改 命令 改变 网 络 设备 的 负责 人 姓名 、 
地 址 和 电话 等 )。 
。 ”修改 数据 库 ， 也 改变 设备 的 状态 。 除 了 修改 数据 值 之 外 ， 还 改变 了 设备 的 运行 状态 。 
例如 ， 把 路 由 器 端口 的 状态 值 置 为 disabled， 则 所 有 网 络 通信 不 再 访问 该 端口 。 
。 ”修改 数据 库 ， 同 时 引起 设备 的 动作 。 由 于 现行 网 络 管理 标准 中 没有 直接 指挥 设备 动作 
的 命令 ， 所 以 通常 用 管理 数据 库 中 的 变量 值 控制 被 管理 设备 的 动作 。 当 这 些 变 量 被 设 
置 成 不 同 的 值 时 ， 设 备 随即 执行 对 应 的 操作 过 程 。 例 如 ， 路 由 器 数据 库 中 有 一 个 初始 
化 参数 ， 可 取 值 为 tue 或 false。 若 设置 此 参数 值 为 tue， 则 路 由 器 开始 初始 化 ， 过 程 
结束 时 重 置 该 参数 为 false。 


3 定义 和 修改 关系 


关系 是 指 网 络 资源 之 间 的 联系 、 连 接 以 及 网 络 资源 之 间 相 互 依存 的 条 件 ， 例 如 拓扑 结构 、 
物理 连接 、 风 辑 连 接 、 继 承 层次 和 管理 域 等 。 继 承 层次 是 管理 对 象 之 间 的 继承 关系 ， 而 管理 域 
是 被 管理 资源 的 集合 ， 这 些 网 络 资源 具有 共同 的 管理 属性 或 者 受 同一 管理 站 控制 。 

配置 管理 应 该 提供 联机 修改 关系 的 操作 ， 即 用 户 在 不 关闭 网 络 的 情况 下 可 以 增加 、 删 除 或 
修改 网 络 资源 之 间 的 关系 。 例 如 在 LAN 中 ， 节 点 之 间 风 辑 链 路 控制 子 层 的 连接 可 以 由 管理 站 
来 修改 。 一 种 LLC 连接 叫 作 交 换 连 接 ， 即 节点 的 LLC 实体 接受 上 层 软 件 的 请 求 或 者 响应 终端 
用 户 的 命令 与 其 他 节点 建立 的 SAP 之 间 的 连接 。 另 外 , 管理 站 还 可 以 建立 固定 (或 永久 ) 连接 ， 
管理 软件 也 可 以 按照 管理 命令 的 要 求 释 放 已 建立 的 固定 连接 或 交换 连接 ， 或 者 为 一 个 已 有 的 连 
接 指 定 备 份 连接 ， 以 便 在 主 连接 失效 时 替换 它 。 


4. 启动 和 终止 网 络 运行 
配置 管理 给 用 户 提供 启动 和 关闭 网 络 和 子 网 的 操作 。 启 动 操作 包括 验证 所 有 可 设置 的 资源 
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属性 是 否 已 正确 设置 ， 如 果 有 设置 不 当 的 资源 ， 则 要 通知 用 户 ; 如 果 所 有 的 设置 都 正确 无 误 ， 
则 向 用 户 发 回 表 定 应 答 。 同时, 关闭 操作 完成 之 前 应 允许 用 户 检索 设备 的 统计 信息 或 状态 信息 。 


5. 发 行 软件 


配置 管理 还 提供 向 端 系统 〈 主 机 、 服 务 器 和 工作 站 等 ) 和 中 间 系 统 〈 交 换 机 、 路 由 器 和 应 
用 网 关 等 ) 发 行 软件 的 功能 ， 即 给 系统 装载 指定 的 软件 , 更 新 软件 版 本 和 配置 软件 参数 等 功能 。 
除了 装载 可 执行 的 软件 之 外 ， 这 个 功能 还 包括 下 载 驱 动 设备 工作 的 数据 表 ， 例 如 路 由 器 和 网 桥 
中 使 用 的 路 由 表 。 如 果 出 于 计 费 、 安 全 或 性 能 管理 的 需要 ， 路 由 决策 中 的 某 些 特殊 情况 不 能 仅 
根据 数学 计算 的 结果 处 理 ， 可 能 还 需要 人 工 干 预 ， 所 以 还 应 提供 人 工 修改 路 由 表 的 用 户 接口 。 


11.3.5 “安全 威胁 


早期 的 计算 机 信息 安全 主要 由 物理 的 和 行政 的 手段 控制 , 例如 不 许 未 经 授权 的 用 户 进入 终 
端 室 (物理 的 )， 或 者 对 可 以 接近 计算 机 的 人 员 进 行 严格 的 审查 等 (行政 的 )。 然 而 自从 有 了 网 
络 ， 特 别 是 有 了 开放 的 因特网 ， 情 况 就 完全 不 同 了 。 人 们 人 迫切 地 需要 自动 的 管理 工具 ， 以 控制 
存储 在 计算 机 中 的 信息 和 网 络 传输 中 信息 的 安全 。 安 全 管理 提供 这 种 安全 控制 工具 ， 同 时 也 要 
保护 网 络 管理 系统 本 身 的 安全 。 下 面 首先 分 析 计 算 机 网 络 面临 的 安全 威胁 。 


1， 安 全 威胁 的 类 型 


为 了 理解 对 计算 机 网 络 的 安全 威胁 ， 首 先 定义 安全 需求 。 计 算 机 和 网 络 需要 以 下 3 个 方面 
的 安全 性 。 

01) 保密 性 Csecrecy)。 计 算 机 网 络 中 的 信息 只 能 由 授予 访问 权限 的 用 户 读 取 《 包 括 显示 、 
打印 等 ， 也 包含 暴露 “信息 存在 ”这 样 的 事实 )。 

(2) 数据 完整 性 integrity)。 计 算 机 网 络 中 的 信息 资源 只 能 被 授予 权限 的 用 户 修改 。 

(3) 可 用 性 availability)。 具 有 访问 权限 的 用 户 在 需要 时 可 以 利用 网 络 资源 。 

所 谓 对 计算 机 网 络 的 安全 威胁， 就 是 破坏 了 这 3 个 方面 的 安全 性 要 求 。 下 面 从 计算 机 网 络 
提供 信息 的 途径 来 分 析 安全 威胁 的 类 型 。 通 常 ， 从 源 到 目标 的 信息 流动 的 各 个 阶段 都 可 能 受到 
威胁 。 图 11-13 画 出 了 信息 流 被 危害 的 各 种 情况 。 

《1) 信息 从 源 到 目标 传送 的 正常 情况 。 

(2) 中断 (interruption)。 通 信 被 中 断 ,信息 变 得 无 用 或 者 无 法 利用 ， 这 是 对 可 用 性 的 威胁 。 
例如 破坏 信息 存储 硬件 、 切 断 通信 线路 、 侵 犯 文件 管理 系统 等 

(3) 窃取 (interception)。 未 经 授权 的 入 侵 者 访问 了 网 络 信息 ， 这 是 对 保密 性 的 威胁 。 入 侵 
者 可 以 是 个 人 、 程 序 或 计算 机 ， 可 通过 措 线 捕获 线路 上 传送 的 数据 ， 或 者 非法 复制 文件 和 程 
序 等 
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大 目标 源 上 村 
O——O oO- 0O 


(a) 正常 流动 (b) 中 断 (c) 窃取 
(d) 篡改 (e) 假冒 


11-13 ”对 网 络 通信 的 安全 威胁 


(4) 算 改 (modification)。 示 经 授权 的 入 侵 者 不 仅 访问 了 信息 资源 ， 而 且 算 改 了 信息 ， 这 
是 对 数据 完整 性 的 威胁 。 例 如 改变 文件 中 的 数据 、 改 变 程序 的 功能 、 修 改 网 上 传送 的 报 文 等 。 

(5) 假冒 (fabrication)。 未 经 授权 的 入 侵 者 在 网 络 信息 中 加 入 了 伪造 的 内 容 ， 这 也 是 对 数 
据 完整 性 的 威胁 。 例 如 向 网 络 用 户 发 送 虚假 的 消息 、 在 文件 中 插入 伪造 的 记录 等 。 


2. 对 计算 机 网 络 的 安全 威胁 
11-14 所 示 为 对 计算 机 网 络 的 各 种 安全 威胁 ， 分 别 解释 如 下 。 


自 改 自 改 







(捕获 、 分 析 ) 窃取 窃取 分析、 捕获 ) 


(丢失 ) 中 断 中 断 〈 丢 失 ) 


(偷窃 、 拒 绝 服务 ) 中 断 中 断 删除 》 


自 改 


图 11-14 对 计算 机 网 络 资源 的 安全 威胁 
(1) 对 硬件 的 威胁 。 主 要 是 破坏 系统 硬件 的 可 用 性 ， 例 如 有 意 或 无 意 的 损坏 ， 甚 至 是 盗窃 
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网 络 器 材 等 。 小 型 的 PC、 工作 站 和 局 域 网 的 广泛 使 用 增加 了 这 种 威胁 的 可 能 性 。 

(2) 对 软件 的 威胁 。 操 作 系统 、 实 用 程序 和 应 用 软件 可 能 被 改变 、 损 坏 ， 甚 至 被 恶意 删除 ， 
从 而 不 能 工作 ,失去 可 用 性 。 特别 是 有 些 修改 使 得 程序 看 起 来 似乎 可 用 ,但 是 做 了 其 他 的 工作 ， 
这 正 是 各 种 计算 机 病毒 的 特长 。 另 外 ， 软 件 的 非法 复制 还 是 一 个 至 今 没 有 解决 的 问题 ， 所 以 软 
件 本 身 也 不 安全 。 

(3) 对 数据 的 威胁 。 主 要 有 4 个 方面 的 威胁 ， 即 数据 可 能 被 非法 访问 ， 破 坏 了 保密 性 ， 数 
据 可 能 被 恶意 修改 或 者 假冒 ， 破 坏 了 完整 性 ， 数 据 文件 可 能 被 恶意 删除 ， 从 而 破坏 了 可 用 性 ; 
甚至 在 无 法 直接 读 取 数据 文件 的 情况 下 《例如 文件 被 加 密 )， 还 可 以 通过 分 析 文 件 大 小 或 者 文 
件 目录 中 的 有 关 信 息 推测 出 数据 的 特点 。 这 种 分 析 技术 是 一 种 更 隐蔽 的 计算 机 犯罪 手段 ， 网 络 
黑客 们 乐 而 为 之 。 

(4) 对 网 络 通信 的 威胁 。 可 分 为 被 动 威胁 和 主动 威胁 两 类 ， 如 图 11-15 所 示 。 被 动 威胁 并 
不 改变 数据 流 ， 而 是 采用 各 种 手段 窃取 通信 线路 上 传输 的 信息 ， 从 而 破坏 了 保密 性 。 例 如 ， 偷 
听 或 监视 网 络 通信 ， 从 而 获知 电话 谈话 、 电 子 邮 件 和 文件 的 内 容 ; 还 可 以 通过 分 析 网 络 通信 的 
特点 《通信 的 频率 、 报 文 的 长 度 等 ) 猜测 出 传输 中 的 信息 。 由 于 被 动 威胁 不 改变 信息 的 内 容 ， 
所 以 是 很 难 检测 的 ， 数 据 加 密 是 防止 这 种 威胁 的 主要 手段 。 与 其 相反 ， 主 动 威胁 则 可 能 改变 信 
息 流 ， 或 者 生成 伪造 的 信息 流 ， 从 而 破坏 了 数据 的 完整 性 和 可 用 性 。 主 动 攻击 者 不 必 知 道 信息 
的 内 容 ， 但 可 以 改变 信息 流 的 方向 ， 或 者 使 传输 


的 信息 被 延迟 、 重 放 、 重 新 排序 ， 可 能 产生 不 同 被 动 克 胁 
的 效果 ， 这 些 都 是 对 网 络 通信 的 算 改 。 主 动 攻击 
还 可 能 影响 网 络 的 正常 使 用 ， 例 如 改变 信息 流传 窃取 


输 的 目标 、 关 闭 或 破坏 通信 设施 ， 或 者 以 垃圾 报 A 


文 阻塞 信道 ， 这 种 手段 叫 拒绝 服务 。 假 冒 (或 伪 


造 ) 者 则 可 能 利用 前 两 种 攻击 手段 之 一 ， 冒 充 合 发 天 信和 容 sd 
法 用 户 以 博取 非法 利益 。 例 如 ， 攻 击 者 捕获 了 合 

法 用 户 的 认证 报 文 ， 不 必 知道 认证 码 的 内 容 ， 只 

需 重 放 认证 报 文 就 可 以 冒充 合法 用 户 使 用 计算 机 | 

资源 。 其 实 ， 完 全 防止 主动 攻击 是 不 可 能 的 ， 只 3 

能 及 时 地 检测 它 ， 在 它 还 没有 造成 危害 或 没有 千 

成 大 的 危害 时 消除 它 。 图 11-15 计算 机 网 络 的 被 动 威胁 和 主动 威胁 


3， 对 网络 管理 的 安全 威胁 


由 于 网 络 管理 是 分 布 在 网 络 上 的 应 用 程序 和 数据 库 的 集合 ， 以 上 讨论 的 各 种 威胁 都 可 能 影 
响 网 络 管理 系统 ， 造 成 管理 系统 失灵 ， 甚 至 发 出 了 错误 的 管理 指令 ， 破 坏 了 计算 机 网 络 的 正常 
运行 。 对 于 网 络 管理 有 3 个 方面 的 安全 威胁 值得 提出 。 
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(1) 伪装 的 用 户 。 没 有 得 到 授权 的 用 户 企图 访问 网 络 管理 应 用 和 管理 信息 。 

(2) 假冒 的 管理 程序 。 无 关 的 计算 机 系统 可 能 伪装 成 网 络 管理 站 实施 管理 功能 。 

(3) 侵入 管理 站 和 代理 间 的 信息 交换 过 程 。 网 络 入 侵 者 通过 观察 网 络 活动 窃取 了 敏感 的 管 
理 信 息 ， 更 严重 的 危害 是 自 改 管理 信息 ， 或 中 断 管理 站 和 代理 之 间 的 通信 。 


11.3.6 ”安全 管理 


系统 或 网 络 的 安全 设施 由 一 系列 安全 服务 和 安全 机 制 的 集合 组 成 。 下 面 分 3 个 方面 讨论 安 
全 设施 的 管理 问题 。 


1， 安全 信息 的 维护 


网 络 管理 中 的 安全 管理 是 指 保护 管理 站 和 代理 之 间 信 息 交换 的 安全 。 安 全 管理 使 用 的 操作 
与 其 他 管理 使 用 的 操作 相同 , 差别 在 于 使 用 的 管理 信息 的 特点 。 有 关 安 全 的 管理 对 象 包括 密 钥 、 
认证 信息 、 访 问 权限 信息 以 及 有 关 安 全 服务 和 安全 机 制 的 操作 参数 的 信息 等 。 安 全 管理 要 跟踪 
进行 中 的 网 络 活动 和 试图 发 动 的 网 络 活动 ， 以 便 检 测 未 遂 的 或 成 功 的 攻击 ， 并 挫败 这 些 攻击 ， 
恢复 网 络 的 正常 运行 。 细 分 一 下 ， 对 于 安全 信息 的 维护 可 以 列 出 以 下 功能 。 

(1) 记录 系统 中 出 现 的 各 类 事件 〈 例 如 用 户 登录 、 退 出 系统 和 文件 复制 等 )。 

(2) 追踪 安全 审计 试验 ， 自 动 记录 有 关 安 全 的 重要 事件 ， 例 如 非法 用 户 持续 试验 不 同 口令 
字 企 图 登录 等 。 

(3) 报告 和 接收 侵犯 安全 的 警示 信号 ， 在 怀疑 出 现 威胁 安全 的 活动 时 采取 防范 措施 ， 例 如 
封锁 被 入 侵 的 用 户 账号 ， 或 强行 停止 恶意 程序 的 执行 等 。 

(4) 经 常 维护 和 检查 安全 记录 ， 进 行 安全 风险 分 析 ， 编 制 安全 评价 报告 。 

(5) 备份 和 保护 敏感 的 文件 。 

(6) 研究 每 个 正常 用 户 的 活动 形象 ， 预 先 设 定 敏感 资源 的 使 用 形象 ， 以 便 检 测 授权 用 户 的 
异常 活动 和 对 敏感 资源 的 滥用 行为 。 


2. 资源 访问 控制 


一 种 重要 的 安全 服务 就 是 访问 控制 服务 ， 这 包括 认证 服务 和 授权 服务 ， 以 及 对 敏感 资源 访 
问 授权 的 决策 过 程 。 访 问 控制 服务 的 目的 是 保护 各 种 网 络 资源 ， 这 些 资源 中 与 网 络 管理 有 关 
的 内 容 如 下 。 

。 ”安全 编码 。 

。 源 路 由 和 路 由 记录 信息 。 

。 路 由 表 。 

。 目录 表 。 
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。 报警 门限 。 

。 计 费 信息 。 

安全 管理 记录 用 户 的 活动 属性 (Profile) 以 及 特殊 文件 的 使 用 属性 ， 检 查 可 能 出 现 的 异常 
访问 活动 。 安 全 管理 功能 使 管理 人 员 能 够 生成 和 删除 与 安全 有 关 的 对 象 ， 改 变 它 们 的 属性 或 状 
态 ， 影 响 它们 之 间 的 关系 。 

3， 加 密 过 程控 制 

安全 管理 能 够 在 必要 时 对 管理 站 和 代理 之 间 交 换 的 报 文 进行 加 密 。 安 全 管理 也 能 够 使 用 其 
他 网 络 实体 的 加 密 方法 。 此 外 ， 这 个 功能 还 可 以 改变 加 密 算法 ， 具 有 密 钥 分 配 能 力 。 


11.4 简单 网 络 管理 协议 





在 20 世纪 80 年 代 末 ， 随 着 对 网 络 管理 系统 的 迫切 需求 和 网 络 管理 技术 的 日 臻 成熟， 国际 
标准 化 组 织 开 始 制 订 关 于 网 络 管理 的 国际 标准 。 首 先是 ISO 在 1989 年 颁布 了 ISO DIS 7498-4 
(XX.700) 文件 ， 定 义 了 网 络 管理 的 基本 概念 和 总 体 框架 ， 后 来 在 1991 年 发 布 的 两 个 文件 中 规定 
了 网 络 管理 提供 的 服务 和 网 络 管理 协议 ， 即 ISO 9595 公共 管理 信息 服务 定义 〈Common 
Management Information Service，CMIS ) 和 ISO 9596 公共 管理 信息 协议 规范 (Common 
Management Information Protocol，CMIP)。 在 1992 年 公布 的 ISO 10164 文件 中 规定 了 系统 管理 
功能 (System Management Functions, SMFs), 而 ISO 10165 文件 则 定义 了 管理 信息 结构 (Structure 
of Management Information，SMI)。 这 些 文件 共同 组 成 了 ISO 的 网 络 管理 标准 。 这 是 一 个 非常 
复杂 的 协议 体系 ， 管 理 信息 采用 了 面向 对 象 的 模型 ， 管 理 功能 包罗 万 象 ， 另 外 还 有 一 些 附加 的 
功能 和 一 致 性 测试 方面 的 说 明 。 由 于 其 复杂 性 ， 有 关 ISO 管理 的 实现 进展 缓慢 ， 很 少 有 适用 的 
网 管 产品 。 

另 一 方面 ， 随 着 20 世纪 90 年 代 初 Internet 的 迅猛 发 展 ， 有关 TCP/IP 网 络 管理 的 研究 活动 
十 分 活跃 另 一 类 网 络 管理 标准 正在 迅速 流传 和 广泛 应 用 。TCP/IP 网 络 管理 方面 最 初 使 用 的 是 
1987 年 11 月 提出 的 简单 网 关 监 控 协 议 (Simple Gateway Monitoring Protocol，SGMP)， 在 此 基 
础 上 改进 成 简单 网 络 管理 协议 第 一 版 (Simple Network Management Protocol，SNMPv1)， 陆 续 
公布 在 1990 和 1991 年 的 几 个 RFC(Request For Comments) 文 件 中 , 即 RFC 1155(SMI)、RFC1157 
(CSNMP)、RFC1212(MIB 定义 ) 和 RFC1213 (MIB-2 规范 )。 由 于 其 简单 性 和 易于 实现 , SNMPv1 
得 到 了 许多 制造 商 的 支持 和 广泛 的 应 用 。 几 年 以 后 ， 在 第 一 版 的 基础 上 改进 功能 和 安全 性 ， 又 
产生 了 第 二 版 SNMPv2 (RFC1902-1908，1996) 和 SNMPv3 (RFC2570-2575 Apr1999)。 

在 同一 时 期 , 用 于 监控 局 域 网 通信 的 标准 一 一 远程 网 络 监 控 (Remote Monitoring, RMON) 
也 出 现 了 ， 这 就 是 RMON-1 (1991) 和 RMON-2 (1995)。 这 一 组 标准 定义 了 监视 网 络 通 信 的 
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管理 信息 库 ， 是 SNMP 管理 信息 库 的 扩充 , 与 SNMP 协议 配合 可 以 提供 更 有 效 的 管理 性 能 ， 也 
得 到 了 广泛 应 用 。 

另外 ，IEEE 定义 了 局 域 网 的 管理 标准 ， 即 下 EE 802.1b LAN/MAN 管理 。 这 个 标准 用 于 管 
理 物理 层 和 数据 链 路 层 的 OSI 设备 ， 因 而 叫做 CMOL (CMIP over LLC)。 

为 了 适应 电信 网 络 的 管理 需要 ,ITU-T 在 1989 年 定义 了 电信 网 络 管理 标准 (Telecommuni- 
cations Management Network，TMN)， 即 M.30 建议 (蓝皮书 )。 


11.4.1 SNMPv1 





Intemet 最 初 的 网 络 管理 框架 由 4 个 文件 定义 , 如 图 11-16 所 示 , 这 就 是 SNMPv1。RFC1155 
定义 了 管理 信息 结构 ， 规 定 了 管理 对 象 的 语法 和 语义 。SMI 主要 说 明了 怎样 定义 管理 对 象 和 怎 
样 访问 管理 对 象 。 RFC1212 说 明了 定义 MIB 模块 的 方法 ， 而 RFC1213 定义 了 MIB-2 管理 对 象 
的 核心 集合 ， 这 些 管理 对 象 是 任何 SNMP 系统 必须 实现 的 。 最 后 ，RFC1157 是 SNMPv1 协议 
的 规范 文件 。 








Structure of Management Information 


SNMP 网 络 管理 框架 


Management Information Base (MIB-2) 





Format for MIB Modules 


SNMPv1 


图 11-16 SNMPv1 网 络 管理 框架 的 定义 
1. SNMP 体系 结构 


图 11-17 所 示 为 Intemet 网 络 管理 的 体系 结构 。 由 于 SNMP 定义 为 应 用 层 协 议 ， 所 以 它 依 
赖 于 UDP 数据 报 服务 。 同 时 ，SNMP 实体 向 管理 应 用 程序 提供 服务 ， 它 的 作用 是 把 管理 应 用 
程序 的 服务 调用 变 成 对 应 的 SNMP 协议 数据 单元 ， 并 利用 UDP 数据 报 发 送出 去 。 

其 之 所 以 选择 UDP 协议 而 不 是 TCP 协议 ， 是 因为 UDP 效率 较 高 ， 这 样 实现 网 络 管理 不 
会 太 多 地 增加 网 络 负载 。 但 由 于 UDP 不 是 很 可 靠 , 所 以 SNMP 报 文 容易 丢失 。 为 此 , 对 SNMP 
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实现 的 建议 是 对 每 个 管理 信息 要 装配 成 单独 的 数据 报 独立 发 送 ， 而 且 报 文 应 短 一 些 ， 不 要 超过 
484 字 节 。 





SNMP 报 文 











图 11-17 简单 网 络 管理 协议 的 体系 结构 


每 个 代理 进程 管理 若干 被 管理 对 象 ， 并 且 与 某 些 管 理 站 建立 团体 (Community) 关系 ， 如 
图 11-18 所 示 。 团 体 名 作为 团体 的 全 局 标识 符 ， 是 一 种 简单 的 身份 认证 手段 。 一 般 来 说 ， 代 理 
进程 不 接受 没有 通过 团体 名 验证 的 报 文 ， 这 样 可 以 防止 未 授权 的 管理 命令 。 同 时 ， 在 团体 内 部 
也 可 以 实行 专用 的 管理 策略 。 





Manager 


Agent -~ 人 Manager 
(Community) | 











Manager 











图 11-18 ”SNMPv1 的 团体 关系 


2. SNMP 协议 数据 单元 


根据 RFC1157 给 出 的 定义 ，SNMPv1 PDU 的 格式 如 图 11-19 所 示 。 在 SNMP 管理 中 ， 管 
理 站 和 代理 之 间 交 换 的 管理 信息 构成 了 SNMP 报 文 。 报 文 由 3 个 部 分 组 成 ， 即 版 本 号 、 团 体 名 
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和 协议 数据 单元 (PDU)。 报 文 头 中 的 版 本 号 是 指 SNMP 的 版 本 ，RFC1157 为 第 一 版 。 团 体 名 
用 于 身份 认证 。SNMP 共有 5 种 管理 操作 ， 但 只 有 4 种 PDU 格式 。 管 理 站 发 出 的 3 种 请 求 报 
文 GetRequest、GetNextRequest 和 SetRequest 采用 的 格式 是 一 样 的 ， 代 理 的 应 答 报 文 格式 只 有 有 
一 种 GetResponsePDU。 关 于 PDU 中 各 个 字段 的 含义 ， 解 释 如 下 。 


SNMP 报 文 
版 本 号 | 团体 名 SNMP PDU 























GetRequestPDU、GetNextRequestPDU 和 SetRequestPDU 

















PDU 类 型 ”| 请 求 标识 0 0 变量 绑 定 表 
GetResponsePDU 
PDU 类 型 ”| 请 求 标识 | 错误 状态 | 错误 索引 变量 绑 定 表 











TrapPDU 


特殊 陷入 变量 绑 定 表 

















图 11-19 SNMP 报 文 格式 


从 图 11-19 中 可 以 看 出 ， 除 了 Trap 之 外 的 4 种 PDU 格式 是 相同 的 ， 共 有 5 个 字段 。 
。 ”PDU 类 型 : 共 5 种 类 型 的 PDU。 
。 请求 标识 (request-id): 赋予 每 个 请 求 报 文 唯一 的 整数 ， 用 于 区 分 不 同 的 请 求 。 由 于 在 
具体 实现 中 请 求 多 是 在 后 台 执行 ， 当 应 答 报 文 返回 时 要 根据 其 中 的 请 求 标识 与 请 求 报 
文 配 对 。 请 求 标识 的 另 一 个 作用 是 检测 由 不 可 靠 的 传输 服务 产生 的 重复 报 文 。 
。 ”错误 状态 (error-status): 表示 代理 在 处 理 管理 站 的 请 求 时 可 能 出 现 的 各 种 错误 。 
。 ”错误 索引 (errorindex): 当 错 误 状 态 非 0 时 指向 出 错 的 变量 。 
。 ”变量 绑 定 表 (variable-binding): 变量 名 和 对 应 值 的 表 ， 说 明 要 检索 或 设置 的 所 有 变量 
及 其 值 。 在 检索 请 求 报 文中 ， 变 量 的 值 应 为 0。 
3.SNMP 协议 的 操作 
SNMP 报 文 在 管理 站 和 代理 之 间 传 送 ， 包 含 GetRequest、GetNextRequest 和 SetRequest 的 
报 文 由 管理 站 发 出 ， 代 理 以 GetResponse 响应 。 所 有 报 文 发 送 和 应 答 序列 如 图 11-20 所 示 。 一 
般 来 说 ， 管 理 站 可 连续 发 出 多 个 请 求 报 文 ， 然 后 等 待 代理 返回 的 应 答 报 文 。 如 果 在 规定 的 时 间 
内 收 到 应 答 ， 则 按照 请 求 标识 进行 配对 ， 即 应 答 报 文 必须 与 请 求 报 文 有 相同 的 请 求 标识 。 
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管理 站 代理 管理 站 代理 
GetRequestPDU GetNextRequestPDU 






GetResponsePDU 


GetResponsePDU 





管理 站 代理 。 管理 站 代理 
SetNextRequestPDU TrapPDU 





GetResponsePDU 





图 11-20 ”SNMP 报 文 应 答 序列 


当 一 个 SNMP 协议 实体 发 送 报 文 时 执行 下 面 的 过 程 : 首先 按照 ASN.1 的 格式 构造 PDU， 
交 给 认证 进程 。 认 证 进程 检查 源 和 目标 之 间 是 否 可 以 通信 ， 如 果 通过 这 个 检查 ， 则 把 有 关 信 息 
(版 本 号 、 团 体 名 和 PDU) 组 装 成 报 文 。 最 后 经 过 BER 编码 ， 交 传输 实体 发 送出 去 ， 如 图 11-21 


所 示 。 
构造 PDU (ASN.1 对 象 ) 


| 加 入 团体 名 以 及 源 和 目标 传输 地 址 。 | 


| | 


| 和 造 sNMp 报 文 AsN D | 。 | ti 过 认证 


| | 


| 把 ASN.1 报 文 按 BER 编 码 | 























发 送 给 对 等 实体 





图 11-21 生成 和 发 送 SNMP 报 文 


so 
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当 一 个 SNMP 协议 实体 接收 到 报 文 时 执行 下 面 的 过 程 : 首先 按照 BER 编码 恢复 ASN.1 报 
文 ， 然 后 对 报 文 进行 语法 分 析 、 验 证 版 本 号 和 认证 信息 等 。 如 果 通 过 分 析 和 验证 ， 则 分 离 出 协 
议 数据 单元 ， 并 进行 语法 分 析 ， 必 要 时 经 过 适当 处 理 后 返回 应 答 报 文 。 在 认证 检验 失败 时 可 以 
生成 一 个 陷入 报 文 ， 向 发 送 站 报告 通信 和 异常 情况 。 无 论 何 种 检验 失败 ， 都 丢弃 报 文 。 接 收 处 理 
过 程 如 图 11-22 所 示 。 








按 BER 解码 ,恢复 ASN.1 报 文 











| 正确 


出 错 
语法 分 析 ASN.1 报 文 


正确 








验证 版 本 号 [一 | ”丢弃 报 文 











认证 检查 


i 
nn 
处 理 PDU、 必 要 时 产生 应 答 


图 11-22 ”接收 和 处 理 SNMP 报 文 


必要 时 产生 一 个 陷入 














4. SNMPv1 的 实现 问题 


SNMP 网 络 管理 是 一 种 分 布 式 应 用 ， 在 这 种 应 用 中 ,管理 站 和 代理 之 间 的 关系 可 以 是 一 对 
多 的 关系 ， 即 一 个 管理 站 可 以 管理 多 个 代理 ， 从 而 管理 多 个 设备 。 另 一 方面 ， 管 理 站 和 代理 之 
间 还 可 能 存在 多 对 一 的 关系 。 代 理 控制 自己 的 管理 信息 库 ， 也 控制 着 多 个 管理 站 对 管理 信息 库 
的 访问 。 另外， 委托 代理 也 可 能 按照 预定 的 访问 策略 控制 对 其 代理 设备 的 访问 。 

RFC1157 提供 的 认证 和 控制 机 制 是 最 基本 的 团体 名 验证 功能 。 可 以 看 出 ，SNMP 的 安全 机 
制 是 很 不 安全 的 , 仅仅 用 团体 名 验证 来 控制 访问 权限 是 不 够 的 。 而且 团体 名 以 明文 的 形式 传输 ， 
很 容易 被 第 三 者 窃取 ,这 也 是 SNMP 的 简单 性 使 然 。 由 于 这 个 缺陷 , 很 多 SNMP 的 实现 只 允许 
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Get 和 Trap 操作 ， 通 过 Set 操作 控制 网 络 设备 是 被 严格 限制 的 。 

SNMP 定义 的 陷入 类 型 是 很 少 的 ， 虽 然 可 以 补充 设备 专用 的 陷入 类 型 ， 但 专用 的 陷入 往往 
不 能 被 其 他 制造 商 的 管理 站 理解 ， 所 以 管理 站 主要 靠 轮 询 收集 信息 。 轮 询 的 频率 对 管理 的 性 能 
影响 很 大 。 如 果 管理 站 在 启动 时 轮 询 所 有 代理 ， 以 后 只 是 等 待 代理 发 来 的 陷入 ， 这 样 很 难 掌握 
网 络 的 最 新 动态 。 例 如 ， 不 能 及 时 了 解 网 络 中 出 现 的 拥塞 。 

另外 ， 需 要 一 种 能 提高 网 络 管理 性 能 的 轮 询 策略 ， 以 决定 合适 的 轮 询 频 率 。 通 常 轮 询 频率 
与 网 络 的 规模 和 代理 的 多 少 有 关 , 而 网 络 管理 性 能 还 取决 于 管理 站 的 处 理 速度 、 子 网 数据 速率 、 
网 络 拥塞 程度 等 众多 的 因素 ， 所 以 很 难 给 出 准确 的 判断 规则 。 为 了 使 问题 简化 ， 假 定 管理 站 一 
次 只 能 与 一 个 代理 作用 ， 轮 询 只 是 采用 get 请 求 /响应 这 种 简单 形式 ， 而 且 管 理 站 的 全 部 时 间 都 
用 来 轮 询 ， 于 是 有 下 面 的 不 等 式 

N<7/A 
其 中 : N 一 一 被 轮 询 的 代理 数 ; 
了 一 一 轮 询问 隔 ; 
A 一 一 单个 轮 询 需 要 的 时 间 。 

A 与 下 列 因素 有 关 : 

(1) 管理 站 生成 一 个 请 求 报 文 的 时 间 。 

(2) 从 管理 站 到 代理 的 网 络 延 迟 。 

(3) 代理 处 理 一 个 请 求 报 文 的 时 间 。 

(4) 代理 产生 一 个 响应 报 文 的 时 间 。 

(5) 从 代理 到 管理 站 的 网 络 延迟 。 

(6) 管理 站 处 理 一 个 响应 报 文 的 时 间 。 

(7) 为 了 得 到 需要 的 管理 信息 ， 交 换 请 求 /响应 报 文 的 数量 。 

【 例 11.2】 假 设 有 一 个 LAN， 每 15 分 钟 轮 询 所 有 被 管理 设备 一 次 (这 在 当前 的 TCP/IP 网 
络 中 是 典型 的 )， 管 理 报 文 的 处 理 时 间 是 50ms， 网 络 延 迟 为 lms (每 个 分 组 1000 字 节 )， 没 有 
产生 明显 的 网 络 拥 塞 ，A 大 约 是 0.202s， 则 

N< T/A=15 X 60/0.202=4500 

即 管理 站 最 多 可 支持 4500 个 设备 。 

【 例 11.3】 在 由 多 个 子 网 组 成 的 广域网 中 ， 网 络 延 迟 更 大 ， 数 据 速率 更 小 ， 通 信和 距离 更 远 ， 
而 且 还 有 路 由 器 和 网 桥 引 入 的 延迟 ， 总 的 网 络 延迟 可 能 达到 半 秒 钟 ，A 大 约 是 1.2s， 于 是 有 

N< T/A=15 X 60/1.2=750 

管理 站 可 支持 的 设备 最 多 为 750 个 。 





sos 
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这 个 计算 关系 到 4 个 参数 ， 即 代理 数目 、 报 文 处 理 时 间 、 网 络 延迟 和 轮 询 间 隔 。 如 果 能 估 
计 出 3 个 参数 ， 就 可 计算 出 第 4 个 。 所 以 可 以 根据 网 络 配置 和 代理 数量 确定 最 小 轮 询 间隔 ， 或 
者 根据 网 络 配置 和 轮 询 间隔 计算 出 管理 站 可 支持 的 代理 设备 数 。 最 后 ， 当 然 还 要 考虑 轮 询 给 网 
络 增 加 的 负载 。 


11.4.2 SNMPV2 


为 了 扩展 SNMPv1 的 功能 ，IETF 组 织 了 两 个 工作 组 ， 一 个 组 负责 协议 功能 和 管理 信息 库 
的 扩展 ， 另 一 个 组 负责 SNMP 的 安全 方面 ，1992 年 10 月 正式 开始 工作 。 这 两 个 组 的 工作 进展 
非常 快 ， 功 能 组 的 工作 在 1992 年 12 月 完成 ， 安 全 组 在 1993 年 1 月 完成 。1993 年 5 月 发 布 了 
12 个 RFC 文件 (1441-1452) 作为 SNMPv2 标准 的 草案 。 后 来 有 一 种 意见 认为 ，SNMPv2 的 高 
层 管理 框架 和 安全 机 制 实现 起 来 太 复杂 ， 对 代理 的 配置 很 困难 ， 限 制 了 网 络 发 现 能 力 ， 失 去 了 
SNMP 的 简单 性 。 又 经 过 几 年 的 实验 和 论证 ， 决 定 丢 掉 安 全 功能 ， 把 增加 的 其 他 功能 作为 新 标 
准 颁布 ， 并 保留 了 SNMPv1 的 报 文 封装 格式 ， 因 而 叫 作 基于 团体 的 SNMP (Community-based 
SNMP)， 简 称 SNMPv2c。 新 的 RFC (1901-1908) 文件 集 在 1996 年 1 月 发 布 。 

SNMPv2 既 可 以 支持 完全 集中 的 网 络 管理 ， 又 可 以 支持 分 布 式 网 络 管理 。 在 分 布 式 网 络 管 
理 的 情况 下 ， 有 些 系统 既是 管理 站 又 是 代理 ， 作 为 代理 系统 ， 它 可 以 接受 上 级 管理 系统 的 查询 
命令 ， 提 供 本 地 存储 的 管理 信息 ;作为 管理 站 ， 它 可 以 要 求 下 级 代理 系统 提供 有 关 被 管理 设备 
的 汇总 信息 。 此 外 ， 中 间 管 理 系统 还 可 以 向 它 的 上 级 系统 发 出 陷入 报告 。 

具体 地 说 ，SNMPv2c 对 SNMP 的 增强 主要 在 以 下 3 个 方面 。 

(1) 管理 信息 结构 的 扩充 。 

(2) 管理 站 之 间 的 通信 能力。 

(3) 新 的 协议 操作 。 

SNMPv2 引入 了 新 的 数据 类 型 ， 增 强 了 对 象 的 表达 能 力 ， 提 供 了 更 完善 的 表 操作 功能 。 
SNMPv2 还 定义 了 新 的 MIB 功能 组 , 包含 了 关于 协议 操作 的 通信 消息 ， 以 及 有 关 管 理 站 和 代理 
系统 配置 的 信息 。 在 协议 操作 方面 ， 引 入 了 两 种 新 的 PDU， 分 别 用 于 大 块 数据 的 传送 和 管理 站 
之 间 的 通信 。 

SNMPv2 共有 6 种 协议 数据 单元 , 分 为 3 种 PDU 格式 , 如 图 11-23 所 示 。 注 意 , GetRequest、 
GetNextRequest、SetRequest、InformRequest 和 Trap 这 5 种 PDU 与 Response PDU 具有 相同 的 
格式 ， 只 是 它们 的 错误 状态 和 错误 索引 字段 被 署 为 0， 这 样 就 减少 了 PDU 格式 的 种 类 。 

这 些 协议 数据 单元 在 管理 站 和 代理 系统 之 间或 者 两 个 管理 站 之 间 交 换 ， 以 完成 需要 的 协议 
操作 ， 它 们 的 交换 序列 如 图 11-24 和 图 11-25 所 示 。 下 面 解释 管理 站 和 代理 系统 对 这 些 PDU 的 
处 理 和 应 答 过 程 。 
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PDU 类 型 请 标识 | 。 0 变量 绑 定 表 








(a) GetRequest 、GetNextRequest 、SetRequest 、 InformRequest 和 Trap PDU 
PDU 类 型 | 请 求 标识 | 错误 状态 | 错 识 索 引 | 变量 绑 定 才 
(b) Response PDU 
PDU 类 型 | 请 求 标识 [重复 数 | 最 大 后 继 数 M| 。 ”变量 绑 定 表 
(c) GetBulkRequest PDU 
变量 名 1 | 值 1 | 变量 名 | 值 2 食量 名 中 全 
(d) 变量 绑 定 表 









































图 11-23 SNMPv2 PDU 格式 
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图 11-24 管理 站 和 代理 之 间 的 通信 
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一 Manager 
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图 11-25 管理 站 和 管理 站 之 间 的 通信 
1. GetRequestPDU 


Get 操作 用 于 检索 管理 信息 库 中 的 变量 ， 一 次 可 以 检索 多 个 变量 的 值 。 接 收 GetRequest 的 
SNMP 实体 以 请 求 标识 符 相同 的 GetResponse 报 文 响应 。 在 SNMPv1 中 ，GetResponse 操作 具 
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有 原子 性 , 即 只 要 有 一 个 变量 的 值 检索 不 到 , 就 不 返回 任何 值 .SNMPv2 的 响应 方式 与 SNMPv1 
不 同 , SNMPv2 允许 部 分 响应 如果 由 于 任何 其 他 原因 而 处 理 失败 , 则 返回 一 个 错误 状态 genErr， 
对 应 的 错误 索引 指向 有 问题 的 变量 。 如 果 生 成 的 响应 PDU 太 大 ， 超 过 了 本 地 的 或 请 求 方 的 最 
大 报 文 限制 , 则 放弃 这 个 PDU, 构造 一 个 新 的 响应 PDU， 其 错误 状态 为 tooBig, 错误 索引 为 0， 
变量 绑 定 表 为 空 。 

改变 Get 响应 的 原子 性 是 一 个 重大 进步 。 在 SNMPv1 中 ， 如 果 Get 操作 的 一 个 或 多 个 变量 
不 存在 ,代理 就 返回 错误 noSuchName， 剩 下 的 事情 完全 由 管理 站 处 理 : 要么 不 向 上 层 返 回 值 ; 
要 么 去 掉 不 存在 的 变量 ， 重 发 检索 请 求 ， 然 后 向 上 层 返回 部 分 结果 。 由 于 生成 部 分 检索 算法 的 
复杂 性 ， 很 多 管理 站 并 不 支持 这 一 功能 。 

2. GetNextRequestPDU 


GetNext 命令 检索 变量 名 指示 的 下 一 个 对 象 实例 , 用 在 对 表 对 象 的 搜索 中 。 在 SNMPv2 中 ， 
这 种 检索 请 求 的 格式 和 语义 与 SNMPv1 基本 相同 ， 唯 一 的 差别 就 是 改变 了 响应 的 原子 性 。 


3. GetBulkRequestPDU 


这 是 SNMPv2 对 原 标准 的 主要 增强 , 目的 是 以 最 少 的 交换 次 数 检索 最 大 量 的 管理 信息 。 这 
种 块 检索 操作 的 工作 过 程 是 这 样 的 : 假设 GetBulkRequestPDU 变量 绑 定 表 中 有 工 个 变量 ， 
GetBulk PDU 的 “ 非 重复 数字 段 的 值 为 N, 则 对 前 六 个 变量 应 各 返回 一 个 后 继 值 。 再 设 GetBulk 
PDU 的 “最 大 后 继 数 ”字段 的 值 为 M， 则 对 其 余 的 R=L-N 个 变量 应 该 各 返回 最 多 M 个 后 继 值 。 
如 果 可 能 ， 总 共 返 回 NHRXM 个 值 ， 这 些 值 的 分 布 如 图 11-26 所 示 。 如 果 在 任何 一 步 查找 过 程 
中 遇 到 不 存在 后 继 的 情况 ， 则 返回 错误 状态 endOfMibView。 


4. SetRequestPDU 


这 个 请 求 PDU 的 格式 和 语义 与 SNMPv1 的 基本 相同 ,其 语义 是 设置 或 改变 MIB 变量 的 值 ， 
其 差别 是 处 理 响 应 的 方式 不 同 。SNMPv2 实体 分 两 个 阶段 处 理 这 个 请 求 的 变量 绑 定 表 ， 首 先是 
检验 操作 的 合法 性 ， 然 后 是 更 新 变量 。 如 果 至 少 有 一 个 变量 绑 定 对 的 合法 性 检验 没有 通过 ， 则 
不 进行 下 一 阶段 的 更 新 操作 。 所 以 这 个 操作 与 SNMPv1 一 样 ， 是 原子 性 的 。 如 果 没 有 检查 出 错 
误 ， 就 可 以 给 所 有 指定 变量 赋予 新 值 。 若 有 至 少 一 个 赋值 操作 失败 ， 则 所 有 赋值 被 撤销 ， 并 返 
回 错误 状态 commitFailed， 错 误 索 引 指 向 问题 变量 的 序号 。 但 是 ， 若 不 能 全 部 撤销 所 赋 的 值 ， 
则 返回 错误 状态 undoFailed， 错 误 索 引 字段 置 0。 


$5. TrapPDU 


陷入 是 由 代理 发 给 管理 站 的 非 确认 性 消息 。 SNMPv2 的 陷入 采用 与 Get 等 操作 相同 的 PDU 
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格式 ， 这 一 点 也 是 与 原 标准 不 同 的 。TrapPDU 的 变量 绑 定 表 中 应 包含 发 出 陷入 的 时 间 、 发 出 陷 
入 的 对 象 标识 符 以 及 代理 系统 选择 的 其 他 变量 的 值 。 


变量 名 1 
变量 名 2 


变量 名 NN 
变量 名 N+1 


变量 名 N+R 
变量 名 N+1 


变量 名 N+R 





前 入 个 变量 各 有 一 个 后 继 


后 R 个 变量 的 第 一 个 后 继 


共 R*M 个 值 


后 RR 个 变量 的 第 M 个 后 继 


图 11-26 ”GetBulkRequest 检索 得 到 的 值 


6. InformRequestPDU 


SNMPv2 增加 的 管理 站 之 间 的 通信 机 制 是 分 布 式 网 络 管理 所 需要 的 功能 ,为 此 引入 了 通知 
报 文 InformRequest 和 管理 站 数据 库 (manager-to-manager MIB)。Inform 是 管理 站 之 间 发 送 的 
消息 , PDU 格式 与 Get 等 操作 相同 , 变量 绑 定 表 的 内 容 与 陷入 报 文 一 样 , 但 这 个 消息 需要 应 答 。 
管理 站 收 到 通知 请 求 后 首先 要 决定 应 答 报 文 的 大 小 ， 如 果 应 答 报 文大 小 超过 本 地 或 对 方 的 限 
制 ， 则 返回 错误 状态 tooBig。 如 果 接 收 的 请 求 报 文 不 是 太 大 ， 则 把 有 关 信 息 传送 给 本 地 的 应 用 
实体 ， 返 回 一 个 错误 状态 为 noErr 的 响应 报 文 ， 其 变量 绑 定 表 与 收 到 的 请 求 PDU 相同 。 














11.4.3 SNMPv3 


SNMPv3 在 前 两 版 的 基础 上 重新 定义 了 网 络 管理 框架 和 安全 机 制 ， 新 开发 的 网 络 管理 系统 


都 支持 SNMPv3 。 
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在 前 两 版 中 叫 作 管理 站 和 代理 的 东西 在 SNMPv3 中 统一 叫 作 SNMP 实体 (SNMP entity)。 
实体 是 体系 结构 的 一 种 实现 ， 由 一 个 或 多 个 SNMP 引擎 (SNMP engine) 和 一 个 或 多 个 SNMP 
应 用 (SNMP Application) 组成。 图 11-27 显示 了 SNMP 实体 的 组 成 元 素 。 





















































SNMP 实 体 
SNMP 引 擎 (由 snmpEnsineII 标识 》 
应 用 程序 
命令 生成 器 | | 通知 接收 器 | | 代理 转发 器 
命令 响应 器 | | 通知 发 送 器 | | 其 他 应 用 











1. SNMP 引擎 


SNMP 引擎 提供 下 列 服务 : 
(1) 发 送 和 接收 报 文 。 
(2) 认证 和 加 密 报 文 。 


(3) 控制 对 管理 对 象 的 访问 。 
SNMP 引擎 有 唯一 的 标识 sampEngineID， 由 于 SNMP 引擎 和 SNMP 实体 具有 一 一 对 应 的 
关系 ， 所 以 snmpEngineID 也 是 对 应 的 SNMP 实体 的 唯一 标识 。SNMP 引擎 具有 复杂 的 结构 ， 


它 包含 以 下 部 分 : 


图 11-27 SNMP 实体 


(1) 一 个 调度 器 (Dispatcher)， 其 作用 是 发 送 /接收 SNMP 报 文 。 


(2) 一 个 报 文 处 理子 系统 (Message Processing Subsystem)， 其 功能 是 按照 预定 的 格式 准备 


要 发 送 的 报 文 ， 或 者 从 接收 的 报 文中 提取 数据 。 


(3) 一 个 安全 子 系统 (Security Subsystem)， 提 供 安全 服务 ， 例 如 报 文 的 认证 和 加 密 。 一 


个 安全 子 系统 可 以 有 多 个 安全 模块 ， 以 便 提供 各 种 不 同 的 安全 服务 。 


(4) 一 个 访问 控制 子 系统 (Access Control Subsystem)， 提 供 授 权 服 务 ， 即 确定 是 否 允 许 访 


问 一 个 管理 对 象 ， 或 者 是 否 可 以 对 某 个 管理 对 象 实施 特殊 的 管理 操作 。 
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2. 应 用 程序 


SNMPv3 的 应 用 程序 分 为 5 种， 如 图 11-27 所 示 。 

。 命令 生成 器 〈command generators)。 建 立 SNMP Read/Write 请 求 ， 并 且 处 理 这 些 请 求 
的 响应 。 

。 ”命令 响应 器 (command responders)。 接 收 SNMP Read/Write 请 求 ， 对 管理 数据 进行 访 
问 ， 并 按照 协议 规定 的 操作 产生 响应 报 文 ， 返 回 给 读 / 写 命令 的 发 送 者 。 

。 通知 发 送 器 (notification originators)。 监 控 系 统 中 出 现 的 特殊 事件 ， 产 生 通 知 类 报 文 ， 
并 且 要 有 一 种 机 制 ， 以 决定 向 何 处 发 送 报 文 ， 使 用 什么 SNMP 版 本 和 安全 参数 等 。 

。 通知 接收 器 (notification receivers)。 监 听 通 知 报 文 ， 并 对 确认 型 通知 产生 响应 。 

。 ”代理 转发 器 (proxy forwarders)。 在 SNMP 实体 之 间 转 发 报 文 。 


3. 基于 用 户 的 安全 模型 (USMD 


SNMPv3 把 对 网 络 协议 的 安全 威胁 分 为 主要 的 和 次 要 的 两 类 。 标 准 规定 安全 模块 必须 提供 

防护 的 两 种 主要 威胁 如 下 。 

。 修改 信息 。 就 是 某 些 未 经 授权 的 实体 改变 了 进来 的 SNMP 报 文 ， 企 图 实施 未 经 授权 的 
管理 操作 ， 或 者 提供 虚假 的 管理 对 象 。 

。 假冒 。 即 未 经 授权 的 用 户 冒 充 授权 用 户 的 标识 ， 企 图 实施 管理 操作 。 

标准 还 规定 安全 模块 必须 对 下 面 两 种 次 要 威胁 提供 防护 。 

。 ”修改 报 文 流 。 由 于 SNMP 协议 通常 是 基于 无 连接 的 传输 服务 ， 重 新 排序 报 文 流 、 延 迟 
或 重 放 报 文 的 威胁 都 可 能 出 现 。 这 种 威胁 的 危害 性 在 于 通过 报 文 流 的 修改 可 能 实施 非 
法 的 管理 操作 。 

。 消息 泄漏 。SNMP 引擎 之 问 交换 的 信息 可 能 被 偷 听 ， 对 这 种 威胁 的 防护 应 采取 局 部 的 
策略 。 

下 面 两 种 威胁 是 安全 体系 结构 不 必 防 护 的 ， 因 为 它们 不 是 很 重要 ， 或 者 说 这 种 防护 没有 多 

大 作用 。 

。 ”拒绝 服务 。 因 为 在 很 多 情况 下 拒绝 服务 和 网 络 失效 是 无 法 区 别 的 ， 所 以 可 以 由 网 络 管 
理 协议 来 处 理 ， 安 全 子 系统 不 必 采 取 措 施 。 

。 ”通信 分 析 。 即 由 第 三 者 分 析 管 理 实体 之 间 的 通信 规律 ， 从 而 获取 需要 的 信息 。 由 于 通 
常 都 是 由 少数 管理 站 来 管理 整个 网 络 的 ， 所 以 管理 系统 的 通信 模式 是 可 预见 的 ， 因 而 
防护 通信 分 析 就 没有 多 大 作用 了 。 

因此 ，RFC2574 把 安全 协议 分 为 以 下 3 个 模块 : 

。 ”时 间 序 列 模块 。 提 供 对 报 文 延迟 和 重 放 攻击 的 防护 。 

。 ”认证 协议 。 提供 完 整 性 和 数据 源 认证 , 使 用 了 一 种 叫 作 报 文 认证 码 的 协议 。 MAC 通常 
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用 于 共享 密 钥 的 两 个 实体 之 间 ， 使 用 散 列 函 数 作为 密码 ， 所 以 也 叫 作 HMAC。HMAC 
可 以 结合 任何 重复 加 密 的 散 列 函数 ， 例 如 MD5 和 SHA-1。 可 见 ，HMAC-MD5-96 认 
证 协议 就 是 使 用 散 列 函数 MDS5 的 报 文 认证 协议 。 

加 密 模块 。 防 止 报 文 内 容 的 泄露 。 数 据 的 加 密使 用 DES 算法 ， 使 用 56 位 的 密 铀 ， 按 
照 CBC (Cipher Block Chaining) 模式 对 64 位 长 的 明文 进行 替代 和 替换 ， 最 后 产生 的 
密 文 也 被 分 成 64 位 的 块 。 


另外 ，SNMPv3 还 对 用 户 密 钥 进 行 了 局 部 化 处 理 。 用 户 通常 使 用 可 读 的 ASCII 字符 串 作 为 














令 字 ， 密 钥 局 部 化 就 是 把 用 户 的 口令 字 变 换 成 他 /她 与 一 个 SNMP 引擎 共享 的 密 钥 。 虽 然 用 
户 在 整个 网 络 中 可 能 只 使 用 一 个 口令 ,但 是 通过 密 钥 局 部 化 以 后 ， 用 户 与 每 一 个 SNMP 引擎 共 
享 的 密 钥 都 是 不 同 的 。 这 样 的 设计 可 以 防止 一 个 密 钥 值 的 泄露 对 其 他 SNMP 引擎 造成 危害 。 密 
钥 局 部 化 过 程 的 主要 思想 是 把 口令 字 和 相应 的 SNMP 引擎 标识 作为 输入 ， 运 行 一 个 散 列 函 数 


(例如 MD5 或 SHA)， 得 到 一 个 固定 长 度 的 伪 随 机 序列 ， 作 为 加 密 密 钥 。 
4. 基于 视图 的 访问 控制 (VACM) 模型 


当 一 个 SNMP 实体 处 理 检索 或 修改 请 求 时 都 要 检查 是 否 允 许 访问 指定 的 管理 对 象 , 以 及 是 
否 允 许 执行 请 求 的 操作 。 另 外 ， 当 SNMP 实体 生成 通知 报 文 时 ， 也 要 用 到 访问 控制 机 制 ， 以 决 
定 把 消息 发 送 给 谁 。 在 VACM 模型 中 要 用 到 以 下 概念 。 


1 


们 ,1 


SNMP 上 下 文 (context): 简称 上 下 文 ， 是 SNMP 实体 可 以 访问 的 管理 信息 的 集合 。 

一 个 管理 信息 可 以 存在 于 多 个 上 下 文中 ， 而 一 个 SNMP 实体 也 可 以 访问 多 个 上 下 文 。 
在 一 个 管理 域 中 ，SNMP 上 下 文 由 唯一 的 名 字 contextName 标识 。 

组 (group): 由 二 元 组 <securityModel，securityName> 的 集合 构成 。 属 于 同一 组 的 所 有 
安全 名 securityName 在 指定 的 安全 模型 securityModel 下 的 访问 权限 相同 。 组 的 名 字 用 
groupName 表示 。 

安全 模型 (securityModel): 表示 访问 控制 中 使 用 的 安全 模型 。 

安全 级 别 (securityLevel): 在 同一 组 中 成 员 可 以 有 不 同 的 安全 级 别 ， 即 noAuthNoPriv 
(无 认证 不 保密 )、authNoPriv (有 认证 不 保密 ) 和 authPriv (有 认证 要 保密 )。 任 何 一 
个 访问 请 求 都 有 相应 的 安全 级 别 。 

操作 (operation): 指 对 管理 信息 执行 的 操作 ， 例 如 读 、 写 和 发 送 通知 等 。 


管理 数据 库 MIB-2 
被 管理 对 象 的 定义 


SNMP 环境 中 的 所 有 被 管理 对 象 组 织 成 树 型 结构 ， 如 图 11-28 和 图 11-29 所 示 。 这 种 层次 
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树 结构 有 以 下 3 个 作用 。 

(1) 表示 管理 和 控制 关系 。 从 图 11-28 可 以 看 出 ， 上 层 的 中 间 节 点 是 某 些 组 织 机 构 的 名 字 ， 
说 明 这 些 机 构 负责 它 下 面子 树 的 管理 。 有 些 中 间 节 点 虽然 不 是 组 织 机 构 名 ， 但 已 委托 给 某 个 组 
织 机 构 代 管 , 例如 org(3) 由 ISO 代 管 , 而 intemet(D) 由 IAB (Intemet Architecture Board) 代 管 等 。 
树 根 没有 名 字 ， 默 认为 抽象 语法 表示 ASN.1。 


Toot 


joint-iso-ccitt 





standard Tegistration member body 
authority 








directory mgmt experimental private 


mib-2 





CO wo 
图 11-28 注册 层次 


(2) 提供 了 结构 化 的 信息 组 织 技术 。 从 图 11-29 可 以 看 出 ， 下 层 的 中 间 节 点 代表 的 子 树 是 
与 每 个 网 络 资源 或 网 络 协议 相关 的 信息 集合 。 例 如 ， 有 关 了 P 协议 的 管理 信息 都 放置 在 ip(4) 子 
树 中 。 这 样 ， 沿 着 树 层 次 访问 相关 信息 很 方便 。 

(3) 提供 了 对 象 命名 机 制 。 树 中 的 每 个 节点 都 有 一 个 分 层 的 编号 。 叶 子 节点 代表 实际 的 管 
理 对 象 ， 从 树 根 到 树叶 的 编号 串联 起 来 ， 用 圆 点 隔 开 ， 就 形成 了 管理 对 象 的 全 局 标识 。 例 如 ， 
internet 的 标识 符 是 1.3.6.1， 或 者 写 为 {iso(1)org(3)dod(6)1}。 

intemet 下 面 的 4 个 节点 需要 解释 。directory(D) 是 OSI 的 目录 服务 (X.500)。mgmt(2) 包 括 
由 IAB 批准 的 所 有 管理 对 象 ， 而 mib-2 是 mgmt(2) 的 第 一 个 孩子 节点 。experimental(3) 子 树 用 来 
标识 在 因特网 上 实验 的 所 有 管理 对 象 。 最 后 ，private(4) 子 树 是 为 私有 企业 管理 信息 准备 的 ， 目 
前 这 个 子 树 只 有 一 个 孩子 节点 enterprises(1)。 如 果 一 个 私有 企业 (例如 ABC 公司 ) 向 Intemet 
编码 机 构 申 请 注册 ， 并 得 到 一 个 代码 100， 该 公司 为 它 的 令 牌 环 适配器 赋予 代码 为 25。 这 样 ， 
令 牌 环 适 配器 的 对 象 标识 符 就 是 1.3.6.1.4.1.100.25。 把 internet 节点 划分 为 4 个 子 树 ， 为 SNMP 
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的 实验 和 改进 提供 了 非常 灵活 的 管理 机 制 。 





iso(1) 














| ore(3) 














dod(6) 























interfaces(2) 
| Er 
一 
一 [emo 
Fo 
om 
一 Egg |] 















private(4) 
enterprises(1) 


图 11-29 MIB-2 的 分 组 结构 


SNMP MIB 中 的 每 个 对 象 属于 一 定 的 对 象 类 型 ， 并且 有 一 个 具体 的 值 。 对象 类 型 的 定义 采 
用 ASN.1 描述 ， 对 象 实例 是 对 象 类 型 的 具体 实现 ， 只 有 实例 才 可 以 绑 定 到 特定 的 值 。 
SNMP MIB 的 宏 定义 最 初 在 RFC1155 中 说 明 , 叫 作 MIB-1。 后 来 对 RFC1212 进行 了 扩充 ， 
叫 作 MIB-2。 图 11-30 是 RFC1212 中 对 象 类 型 的 定义 ， 对 其 中 关键 的 成 分 解释 如 下 。 
。 SYNTAX: 语法 子 句 说 明 被 管理 对 象 的 类 型 、 组 成 和 值 的 范围 ， 以 及 与 其 他 对 象 的 关 
系 。 对 象 类 型 的 定义 是 一 种 语法 描述 ， 对 象 实例 是 对 象 类 型 的 具体 实现 ， 只 有 实例 才 
可 以 绑 定 到 特定 的 值 。 在 MIB 中 使 用 了 ASN.1 中 的 5 种 通用 类 型 ， 如 表 11-2 所 示 。 
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OBJECT-TYPE MACRO::= 
BEGIN 
TYPE NOTATION::="SYNTAX" type(TYPE ObjectSyntax) 
"ACCESS" Access 
"STATUS" Status 
DescrPart 
ReferPart 
IndexPart 
DefValPart 
VALUE NOTATION::=value (VALUE ObjectName) 
Access::="read-only"|"read-write"|"write-only"|"not-accessible" 
Status::="mandatory "|"optional"|l"obsolete"|"deprecated" 


DESCRIPTION" value(description DisplayString) | empty 





DescrPart:: 





E" value(reference DisplayString) | empty 
IndexPart::="INDEX" "{" IndexTypes " }" 
IndexTypes::=IndexTypelIndexTypes "," IndexType 


alue(indexobject ObjectName)ltype (indextype) 





: EFVAL" "{" value(defvalue ObjectSyntax) "}" | empty 
DisplayString::=OCTET STRING SIZE(0..255) 
END 











图 11-30 管理 对 象 的 宏 定义 (RFC1212) 


表 11-2 ASN.1 的 通用 类 型 


类 型 名 解 释 
INTEGER 包括 正 、 负 整数 和 0 
OCTET STRING 由 8 位 组 构成 的 串 , 例如 下 地 址 就 是 由 4 个 8 位 组 构成 的 串 
NULL 空 类 型 不 代表 任何 类 型 ， 只 是 占有 一 个 位 置 


OBJECTIDENTIFIER | 对 象 标识 符 “| MIB 树 中 的 节点 用 分 层 的 编号 表示 ， 例 如 1.3.6.1.2.1 
网 可 以 是 任何 类 型 组 成 的 序列 , 如 果 有 OF, 则 是 同类 型 对 象 的 
ee 序列 ， 否 则 是 不 同类 型 对 象 的 序列 


。 ACCESS: 定义 SNMP 协议 访问 对 象 的 方式 。 可 选择 的 访问 方式 有 只 读 (read-only)、 
读 / 写 (read-write)、 只 写 (write-only) 和 不 可 访问 Cnotaccessible) 4 种 。 

。 STATUS: 说 明 实 现 是 否 支 持 这 种 对 象 。 状 态 子 句 中 定义 了 必要 的 〈mandatory) 和 任 
选 的 (optional) 两 种 支持 程度 。 过 时 的 《〈obsolete) 是 指 旧 标 准 支持 但 新 标准 不 支持 
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的 类 型 。 如 果 一 个 对 象 被 说 明 为 可 取消 的 (deprecated)， 则 表示 当前 必须 支持 这 种 对 
象 ， 但 在 将 来 的 标准 中 可 能 被 取消 。 

。 ”DesctPart: 这 个 子 句 是 任 选 的 ， 用 文字 说 明 对 象 类 型 的 含义 。 

。 ”ReferPart 这 个 子 句 也 是 任 选 的 ， 用 文字 说 明 可 参考 在 其 他 MIB 模块 中 定义 的 对 象 。 

。 ”IndexPart: 用 于 定义 表 对 象 的 索引 项 。 

。 ”DefValPart: 这 个 子 句 是 任 选 的 ， 定 义 了 对 象 实例 的 默认 值 。 

VALUE NOTATION: 指明 对 象 的 访问 名 。 

另外 ， RFC1155 文件 还 根据 网 络 管理 的 需要 定义 了 下 列 应 用 类 型 。 

。 ”NetworkAddress: 可 以 有 多 种 网 络 地 址 ， 但 目前 定义 的 只 有 下 地 址 。 

。 IpAddress: 32 位 的 他 地址， 定义 为 4 个 字 节 的 串 。 

。 ”Counter: 计数 器 类 型 是 一 个 非 负 整数 ， 其 值 可 增加 ， 但 不 能 减少 ， 达 到 最 大 值 22-1 
后 回 零 ， 再 从 头 开 始 增加 ， 如 图 11-31 (a) 所 示 。 计 数 器 可 用 于 计算 接收 到 的 分 组 数 
或 字 节 数 等 。 

。 Gauge: 计量 器 类 型 是 一 个 非 负 整数 ， 其 值 可 增加 ， 也 可 减少 。 计 量 器 的 最 大 值 也 是 
22-1。 与 计数 器 不 同 的 地 方 是 计量 器 达到 最 大 值 后 不 回 零 ， 而 是 锁定 在 2”-1， 如 图 
11-31 (b) 所 示 。 计 量 器 可 用 于 表示 存储 在 缓冲 队列 中 的 分 组 数 。 


计数 器 当前 值 计数 器 当前 值 


计数 器 达到 2? 后 回 零 计数 器 达到 2? 后 不 回 零 
(a) 计数 器 (b) 计量 器 
图 11-31 计数 器 和 计量 器 


。 TimeTicks: 时 钟 类 型 是 非 负 整 数 。 时 钟 的 单位 是 百 万 分 之 一 秒 , 可 表示 从 某 个 事件 ( 例 
如 设备 启动 ) 开始 到 目前 经 过 的 时 间 。 
。 ”Opaque: 不 透明 类 型 ， 即 未 知 数据 类 型 ， 可 以 表示 任意 类 型 。 这 种 数据 在 编码 时 按 字 
符 串 处 理 ， 管 理 站 和 代理 都 能 解释 这 种 类 型 。 
SNMPv2 增加 了 两 种 新 的 数据 类 型 Unsigned32 和 Counter64。Unsigned32 和 Gauge32 都 是 
32 位 的 整数 ， 但 是 在 SNMPv2 中 赋予 了 不 同 的 语义 。Counter64 和 Counter32 一 样 ， 都 表示 计 
数 器 ， 只 能 增加 ， 不 能 减少 。 当 增加 到 2“-_1 或 22 1 时 回 零 ， 从 头 再 增加 。 而 且 SNMPv2 规 
定 ， 计 数 器 没有 定义 的 初始 值 ， 所 以 计数 器 的 单个 值 是 没有 意义 的 ， 只 有 连续 两 次 读 计 数 器 得 


第 11 章 网 络 管理 时 8 


到 的 增加 值 才 是 有 意义 的 。 

SNMPv2 规范 澄清 了 原来 标准 中 一 些 含糊 不 清 的 地 方 。 首 先是 在 SNMPv2 中 规定 Gauge32 
的 最 大 值 可 以 设置 为 小 于 2” 的 任意 正 数 MAX， 而 在 SNMPv1 中 Gauge32 最 大 值 总 是 22 1。 
显然 ， 这 样 规定 更 细致 了 ,使 用 更 方便 了 。 其 次 是 SNMPv2 明确 了 当 计 量 器 达到 最 大 值 时 可 自 
动 减少 。 在 RFC1155 中 只 是 说 计量 器 的 值 “ 锁 定 ”在 最 大 值 ， 对 锁定 的 含义 并 没有 定义 ， 人 们 
总 是 在 “计量 器 达到 最 大 值 时 是 否 可 以 减少 ”的 问题 上 争论 不 休 。 


11.5.2 ”MIB-2 的 功能 组 


RFC1213 定义 了 MIB-2， 包 含 11 个 功能 组 ， 共 171 个 对 象 。 下 面 解释 主要 的 功能 组 。 
(1) 系统 组 (System group)。 提 供 了 系统 的 一 般 信息 。 表 11-3 所 示 为 系统 组 的 对 象 。 


表 11-3 系统 组 对 象 

对 象 语 法 访问 方式 功能 描述 
sysDescr (1) DisplayString (SIZE (0..255)) 关 硬 件 和 操作 系统 的 描述 
sysObjectID (2) | OBJECT IDENTIFIER 统制 造 商 标识 
统 运行 时 间 
于 理 人 员 描 述 
统 名 
统 的 物理 位 置 
统 服务 


sysUpTime (3) Timeticks 


| 访问 方式 | 
| Ro | 有 
| ro | 系 
| ro | 未 
sysContact (4) | DisplayString (SIZE (0.255)) 系 
[avw 
| rw | 系 
| ro | 系 





sysName (5) DisplayString (SIZE (0..255)) RW 
sysLocation (6) DisplayString (SIZE (0..255)) RW 
sysServices (7) INTEGER (0..127) 





(2) Interface 组 。 接 口 组 包含 关于 主机 接口 的 配置 信息 和 统计 信息 ， 如 表 11-4 所 示 。 
表 11-4 接口 组 对 象 























对 象 语 法 访问 方式 功能 描述 

ifNumber INTEGER RO 网 络 接口 数 

ifTable SEQUENCE OF ifEntry NA 接口 表 

ifEntry SEQUENCE NA 接口 表 项 

ifIndex INTEGER RO 唯一 的 索引 

ifDescr DisplayString (SIZE (0.255)) RO 接 Ba 多 各 各 
版 本 等 

ji a 物理 层 和 数据 链 路 层 协 议 确定 的 接 
口 类 型 

ifMtu INTEGER RO 最 大 协议 数据 单元 大 小 (位 组 数 ) 
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续 表 

对 和 象 语 法 访问 方式 功能 描述 
ifSpeed Gauge RO 接口 数据 速率 
ifPhysAddress PhysAddress RO 接口 物理 地 址 
ifAdminStatus INTEGER RW 管理 状态 up (1) down (2) testing (3) 
ifOperStatus INTEGER RO 操作 状态 up (1) down (2) testing (3) 
ifL.astChange TimeTicks RO 接口 进入 当前 状态 的 时 间 
iffnOctets Counter 搁 口 收 到 的 总 字 节 数 
ifInUcastPkts Counter 输入 的 单 点 传送 分 组 数 
ifInNUcastPkts Counter | 输入 的 组 播 分 组 数 
ifInDiscards Counter | ro | 丢弃 的 分 组 数 
ifInErrors Counter | Ro | 接收 的 错误 分 组 数 
ifInUnknownPorotos | Counter | Ro | 未 知 协议 的 分 组 数 
ifOutOctets Counter | ”RO | 通过 接口 输出 的 分 组 数 
ifOutUcastPkts Counter | Ro | 输出 的 单 点 传送 分 组 数 
ifOutNUcastPkts Counter | Ro | 输出 的 组 播 分 组 数 
ifOutDiscards Counter | Ro | 丢弃 的 分 组 数 
ifOutErrors Counter | Ro | 输出 的 错误 分 组 数 
ifOutQLen Gauge | Ro | 输出 队列 长 度 
ifSpecfic OBJECTIDENTIFIER | RO | 指向 MIB 中 专用 的 定义 


接口 组 中 的 对 象 可 用 于 故障 管理 和 性 能 管 
列 长 度 检测 网 络 拥塞 ， 可 以 通过 接口 状态 获知 工作 情况 ， 还 可 
输入 错误 率 =ifInErrors/ (ifInUcastPktstifInNUcastPkts) 


管理 。 例 如 ,可 以 通过 检查 进 /出 接口 的 字 节 数 或 队 





以 统计 出 输入 /输出 的 错误 率 。 


输出 错误 率 =ifOutErrors/ (ifOutUcastPktstifOutNUcastPkts) 


另外 ， 该 组 可 以 提供 接口 发 送 的 字 节 3 
(3) 地 址 转换 组 。 地 址 转换 组 包含 一 个 表 ， 


该 表 的 一 生 对 应 系统 的 一 个 物理 接 





， 表 示 网 











络 地 址 到 接口 的 物理 地 址 的 映像 关系 。MIB-2 中 地 址 转换 组 的 对 象 已 被 收编 到 各 个 网 络 协议 组 





中 ， 保 留 地 址 转换 组 仅仅 是 为 了 与 MIB-1 兼容 。 
(4) 耳 组 。 卫 组 提供 了 与 正 协议 有 关 的 信息 。 由 于 端 系统 〈 主 机) 和 中 间 系 统 (路 由 器 ) 
都 实现 了 卫 协议 ， 而 这 两 种 系统 中 包含 的 他 对 象 又 不 完全 相同 ， 所 以 有 些 对 象 是 任 选 的 ， 这 
决 于 是 否 与 系统 有 关 。 卫 组 包含 的 对 象 如 表 11-5 所 示 。 
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表 11-5 IP 组 对 象 

对 象 语 法 访问 方式 功能 描述 
ipForwarding (1) INTEGER RW IP gateway (1), IP host (2) 
ipDefaultTTL (2) INTEGER RW 卫 头 中 的 Time To Live 字段 的 值 
ipInReceives (3) Counter RO 他 层 从 下 层 接收 的 数据 报 总 数 
ipInHdrErrors (4) Counter RO 由 于 下 头 出 错 而 丢弃 的 数据 报 
地 址 出 错 无效 地 址 、 不 支持 的 地 址 和 非 本 
ipInAddrErrors (5) Counter RO 地 主机 地 址 ) 的 数据 报 
ipForwDatagrams (6) Counter RO 已 转发 的 数据 报 
ipInUnknownProtos (7) | Counter RO 不 支持 数据 报 的 协议 ， 因 而 被 丢弃 
ipInDiscards (8) Counter | ”RO | 因 缺 乏 缓冲 资源 而 丢弃 的 数据 报 
ipInDelivers (9) Counter | RO | 由 下 层 提交 给 上 层 的 数据 报 
有 由 IP 层 交 给 下 层 需要 发 送 的 数据 报 ， 不 包 
ipOutRequests (10) Counter | ipForwDatagiami 
ipOutDiscards (11) Counter | RO | 在 输出 端 因 缺 乏 缓冲 资源 而 丢弃 的 数据 报 
ipOutNoRoutes (12) | Counter | ”RO | 没有 到 达 目 标的 路 由 而 丢弃 的 数据 报 
ipReasmTimeout (13) | INTEGER | RO | 数据 段 等 待 重 装配 的 最 长 时 间 ( 秒 ) 
ipReasmReqds (14) Counter | RO | 需要 重 装 配 的 数据 段 
ipReasmOKs (15) Counter | RO | 成 功 重 装 配 的 数据 段 
ipReasmFails (16) Counter | RO | 不 能 重 装 配 的 数据 段 
ipFragOKs (17) Counter | Ro | 分 段 成 功 的 数据 段 
ipFragFails (18) Counter | Ro | 不 能 分 段 的 数据 段 
ipFragCreates (19) Counter RO 产生 的 数据 报 分 段 数 
ipAddrTable (20) SEQUENCE OF NA 卫 地 址 表 
ipRouteTable (21) SEQUENCE OF NA 四 路 由 表 
ipNetToMediaTable (22) | SEQUENCE OF NA 卫 地址 转换 表 
. a 无 效 的 路 由 项 , 包括 为 释放 缓冲 空间 而 丢弃 
ipRoutingDiscards (23) | Counter RO 


(5) ICMP 组 。ICMP 是 人 P 的 伴随 协议 ， 所 有 实现 下 协议 的 节点 都 必须 实现 ICMP 协议 。 
icmp 组 包含 有 关 ICMP 实现 和 操作 的 有 关 信 息 , 它 是 各 种 接收 的 或 发 送 的 ICMP 报 文 的 计数 器 ， 


如 表 11-6 所 示 。 





路 由 项 
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表 11-6 ICMP 组 对 象 


对 和 象 语 ”法 | 访问 方式 





功能 描述 





icmpInMsgs (1) Counter RO 


接收 的 iemp 报 文 总 数 〈 以 下 为 输入 报 文 ) 








icmpInErors (2) Counter RO 


出 错 的 icmp 报 文 数 











icmpInDestUnreachs (3) Counter 目标 不 可 送 达 型 iemp 报 文 
icmpInTimeExcds (4) Counter 超时 型 icmp 报 文 
icmpInPramProbe (5) Counter 有 参数 问题 型 icmp 报 文 








icmpInSrcQuenchs (6) Counter 
icmpInRedirects (7) Counter 


源 抑制 型 icmp 报 文 
重 定向 型 icmp 报 文 





icmpInEchos (8) | 回声 请 求 型 iemp 报 文 
icmpInEchoReps (9) | counter | Ro | 回声 响应 型 iemp 报 文 
icmpInTimestamps (10) | coumter | Ro | 时 间 蕉 请 求 型 iemp 报 文 
icmpInTimestampReps (11) | comter | Ro | 时 间 惟 响应 型 iemp 报 文 
icmpInAddrMasks (12) | counter | Ro | 地 址 掩 码 请 求 型 icmp 报 文 
icmpInAddrMaskReps (13) | comter | Ro | 地 址 掩 码 响 应 型 iemp 报 文 
icmpOutMsgs (14) | counter | Ro | 输出 的 iemp 报 文 总 数 〈 以 下 为 输出 报 文 ) 
icmpOutErrors (15) | Counter | Ro | 出 错 的 icmp 报 文 数 
icmpOutDestUnreachs (16) | counter | Ro | 目标 不 可 送 达 型 icmp 报 文 
icmpOutTimeExcds (17) | counter | Ro | 超时 型 icmp 报 文 
icmpOutPramProbe (18) ”| Counter | RO | 有 参数 问题 型 icmp 报 文 
icmpOutSrcQuenchs (19) -ss | 源 抑制 型 iemp 报 文 


icmpOutRedirects (20) 





重 定向 型 iemp 报 文 





icmpOutEchos (21) Counter RO 


回声 请 求 型 icmp 报 文 





icmpOutEchoReps (22) Counter RO 





回 


声响 应 型 icmp 报 文 








icmpOutTimestamps (23) Counter 


时 间 戳 请 求 型 icmp 报 文 





icmpOutTimestampReps(24) | Counter 时 间 截 响应 型 icmp 报 文 
icmpOutAddrMasks (25) Counter 地 址 掩 码 请 求 型 icmp 报 文 
icmpOutAddrMaskReps (26) el 地 址 掩 码 响 应 型 icmp 报 文 


(6) TCP 组 。TCP 组 包含 与 TCP 协议 的 实现 和 操作 有 关 的 信息 ， 这 一 组 的 前 3 项 与 重 传 


有 关 。 当 一 个 TCP 实体 发 送 数 据 段 后 就 等 待 应 答 ， 
认为 数据 段 丢 失 了 ， 因 而 要 








并 开始 计时 。 如 果 超 时 后 没有 得 到 应 答 


新 发 送 。TCP 组 包含 的 对 象 如 表 11-7 所 示 。 


,就 
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表 11-7 TCP 组 对 象 























对 和 象 语 法 访问 方式 功能 描述 
tcpRtoAlgorithm (1) | INTEGER RO 重 传 时 间 算 法 
tcpRtoMin (2) INTEGER RO 重 传 时 间 最 小 值 
tcpRtoMax (3) INTEGER RO 重 传 时 间 最 大 值 
tcpMaxConn (4) INTEGER RO 可 建立 的 最 大 连接 数 
tcpActiveOpens (5) | Counter RO 主动 打开 的 连接 数 
tcpPassiveOpens (6) | Counter | RO | 被 动 打 开 的 连接 数 
tcpAttemptFails (7) | Counter | RO | 连接 建立 失败 数 
tcpEstabResets (8) | Counter | ro | 连接 复位 数 
tcpCurrEstab (9) Gauge | ro | 状态 为 established 或 closeWait 的 连接 数 
tepInSegs (10) Counter | RO | 接收 的 TCP 段 总 数 
tcpOutSegs (11) Counter | RO | 发 送 的 TCP 段 总 数 
tcpRetransSegs (12) | Counter | RO | 重 传 的 TCP 段 总 数 
tcpConnTable (13) | SEQUENCE OF 连接 表 
tcpInErrors (14) Counter | RO | 接收 的 出 错 TCP 段 数 
tcpOutRests (15) | Counter | 。 RO ”| 发 出 的 含 RST 标志 的 段 数 


(7) UDP 组 。UDP 组 类 似 于 TCP 组 ， 它 包含 了 关于 UDP 数据 报 和 本 地 接收 端点 的 详细 
信息 。 

(8) EGP 组 。EGP 组 提供 了 关于 EGP 路 由 器 发 送 和 接收 的 EGP 报 文 的 信息 ， 以 及 关于 
EGP 邻居 的 详细 信息 等 。 

(9) 传输 组 。 设 置 这 一 组 的 目的 是 针对 各 种 传输 介质 提供 详细 的 管理 信息 ， 事 实 上 这 不 是 
一 个 组 ， 而 是 一 个 联系 各 种 接口 专用 信息 的 特殊 节点 。 前 面 介 绍 过 的 接口 组 包含 各 种 接口 通用 
的 信息 ， 而 传输 组 提供 与 子 网 类 型 有 关 的 专用 信息 。 


11.5.3 SNMPv2 管理 信息 库 


SNMPv2 MIB 扩展 和 细 化 了 MIB-2 中 定义 的 管理 对 象 ， 又 增加 了 新 的 管理 对 象 。 

(1) 系统 组 。SNMPv2 的 系统 组 是 MIB-2 系统 组 的 扩展 ， 图 11-32 所 示 为 这 个 组 的 管理 对 
象 。 可 以 看 出 ， 这 个 组 只 是 增加 了 与 对 象 资 源 (Object Resource ) 有 关 的 一 个 标量 对 象 
sysORLastChange 和 一 个 表 对 象 sysORTable， 它 仍然 属于 MIB-2 的 层次 结构 。 所 谓 对 象 资源 ， 
是 指 由 代理 实体 使 用 和 控制 的 、 可 以 由 管理 站 动态 配置 的 系统 资源 。 标 量 对 象 sysORLastChange 
记录 着 对 象 资源 表 中 描述 的 对 象 实例 改变 状态 (或 值 ) 的 时 间 。 对 象 资源 表 是 一 个 只 读 的 表 ， 
每 一 个 可 动态 配置 的 对 象 资源 占用 一 个 表 项 。 
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System(mib-2) 

sysDescr(1) 

sysObject(2) 

sysUpTime(3) 

syscontact(4) 

sysName(5) 

sysLocation(6) 

sysService(1) 

sysORTable(9) 

sysOREntry(1) 

sysORIndex(1) 
sysORID(2) 
sysORDescr(3) 
sysORUpTime(4) 


图 11-32 ”SNMPv2 系统 组 
(2) SNMP 组 。 这 个 组 是 由 MIB-2 的 对 应 组 改造 而 成 的 ， 有 些 对 象 被 删除 了 ， 同 时 又 增加 
了 一 些 新 对 象 ， 如 图 11-33 所 示 。 
Snmp(mib-2 11) 
一 一 一 sompInPkts (1) 传 输 层 服务 提交 给 SNMP 实 体 的 报 文 数 
一 一 一 sampInBadVersions(3) 接 收 的 含有 版 本 错误 的 报 文 数 
一 一 一 snmpInBadCommunityNames (4 接收 的 含有 团体 名 错误 的 报 文 数 
一 一 一 snmpInBadCommunityUses (5) 含 有 不 支持 的 团体 操作 的 报 义 数 
一 一 snmpInASNParseErrs(6) 含 有 ASN 译 码 错误 的 报 文 数 
一 一 一 snmpEnableAuthenTraps(30) 认 证 失效 陷入 工作 (1) ,认证 失效 陷入 不 工作 (2) 


一 一 一 snmpSilentDrops(31) 由 于 响应 报 文 太 长 无 法 应 答 而 丢弃 的 请 求 报 文 总 数 
一 一 一 snmpProxyDrops (32) 由 于 向 委托 代理 传送 报 文 失败 无 法 应 答 而 丢弃 的 请 求 报 文 数 





图 11-33 改进 的 SNMP 组 
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(3) MIB 对 象 组 。 这 个 新 组 包含 的 对 象 与 管理 对 象 的 控制 有 关 , 分 为 两 个 子 组 , 如 图 11-34 
所 示 。 第 一 个 子 组 snmpTrap 由 两 个 对 象 组 成 。 
snmpMIBObjects (snmpMIB 1) 
— snmpTrap(4) 
snmpTrapOID (1) 


snmpTrapEnterprise (2) 





-一 snmpset(0) 
snmpSerialNo(1) 
图 11-34 SNMP MIB 对 象 组 


。 snmpTrapOID: 这 是 正在 发 送 的 陷入 或 通知 的 对 象 标识 符 ， 这 个 变量 出 现在 陷入 PDU 
或 通知 请 求 PDU 的 变量 绑 定 表 中 的 第 二 项 。 

。 ”snmpTrapEnterprise: 这 是 与 正在 发 送 的 陷入 有 关 的 制造 商 的 对 象 标识 符 ， 当 SNMPv2 
的 委托 代理 把 一 个 RFC1157 陷入 PDU 映像 到 SNMPv2 陷入 PDU 时 ， 这 个 变量 出 现 
在 变量 绑 定 表 的 最 后 。 

第 二 个 子 组 snmpSet 仅 有 一 个 对 象 sampSerialNo， 这 个 对 象 用 于 解决 set 操作 中 可 能 出 现 
的 两 个 问题 。 

@ 一 个 管理 站 可 能 向 同一 个 MIB 对 象 发 送 多 个 set 操作 ， 保 证 这 些 操作 按照 发 送 的 顺序 
在 MIB 中 执行 是 必要 的 ， 即 使 在 传送 过 程 中 次 序 发 生 了 错乱 也 是 这 样 。 

@ 多 个 管理 站 对 MIB 的 并 发 操作 可 能 破坏 了 数据 库 的 一 致 性 和 精确 性 。 

(4) 接口 组 。MIB-2 定义 的 接口 组 经 过 一 段 时 间 的 使 用 ， 发 现 有 很 多 缺陷 。RFC1573 分 析 
了 原来 的 接口 组 没有 提供 的 功能 和 其 他 不 足 之 处 。 

@ 接口 编号 。MIB-2 接口 组 定义 变量 ifNumber 作为 接口 编号 ， 而 且 是 常数 ， 这 对 于 允许 
动态 增加 /删除 网 络 接口 的 协议 〈 例 如 SLIPIPPP) 是 不 合适 的 。 

@ 接口 子 层 。 有 时 需要 区 分 网 络 层 下 面 的 各 个 子 层 ， 而 MIB-2 没有 提供 这 个 功能 。 

图 虚 电 路 问题 。 对 应 一 个 网 络 接口 可 能 有 多 个 虚 电 路 。 

@ 不 同 传输 特性 的 接口 。MIB-2 接口 表 记 录 的 内 容 只 适合 基于 分 组 传输 的 协议 ， 不 适合 
面向 字符 的 协议 〈 例 如 PPP，EIARS-232)， 也 不 适合 面向 位 的 协议 〈 例 如 DS1) 和 固定 信息 长 
度 传输 的 协议 〈 例 如 ATMD)。 

@@ 计数 长 度 。 当 网 络 速度 增加 时 ，32 位 的 计数 器 经 常 溢出 回 零 。 
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@ 接口 速度 。ifSpeed 最 大 为 (21) bps， 但 是 现在 有 的 网 络 速度 已 远 远 超过 这 个 限制 ， 
例如 SONET OC-48 为 2.448Gbps。 

@ 组 播 /广播 分 组 计数 。MIB-2 接口 组 不 区 分 组 播 分 组 和 广播 分 组 ， 但 分 别 计数 有 时 是 有 
用 的 。 

接口 类 型 。ifType 表示 接口 类 型 ，MIB-2 定义 的 接口 类 型 不 能 动态 增加 ， 只 能 在 推出 新 
的 MIB 版 本 时 再 增加 ， 这 个 过 程 一 般 需 要 几 年 时 间 。 

@ ifspecific 问题 。MIB-2 对 这 个 变量 的 定义 很 含糊 。 有 的 实现 给 这 个 变量 赋予 介质 专用 
的 MIB 的 对 象 标识 符 , 有 的 实现 赋予 介质 专用 表 的 对 象 标识 符 , 或 者 是 这 种 表 的 入 口 对 象 标识 
符 ， 甚 至 是 表 的 索引 对 象 标识 符 。 

根据 以 上 分 析 ，RFC1573 对 MIB-2 接口 组 做 了 一 些小 的 修改 ， 纠 正 了 上 面 提 到 的 问题 。 
例如 ， 重 新 规定 ifIndex 不 再 代表 一 个 接口 ， 而 是 用 于 区 分 接口 子 层 ， 而 且 不 再 限制 ifIndex 的 
取 值 必须 在 1~ifNumber 之 间 。 这 样 对 应 一 个 物理 接口 可 以 有 多 个 代表 不 同 风 辑 子 层 的 表 行 ， 
还 允许 动态 地 增加 /删除 网 络 接口 。RFC1573 废除 了 有 些 用 处 不 大 的 变量 ， 例 如 ifnNUcastPkts 
和 ifOutNUPkts, 它们 的 作用 已 经 被 接口 扩展 表 中 的 新 变量 代替 。 由 于 变量 ifoutQLen 在 实际 中 
很 少 实现 ， 也 被 废除 了 。 变 量 ifSpecific 由 于 前 述 原因 也 被 废除 了 ， 它 的 作用 已 被 ifType 代替 。 
同时 把 ifType 的 语法 改变 为 IANAifType， 这 种 类 型 可 以 由 Intemet 编码 机 构 (Internet Assigned 
Number Authorty) 随时 更 新 ， 从 而 不 受 MIB 版 本 的 限制 。 


11.6 RMON 


11.6.1 ”RMON 的 基本 概念 


通常 用 于 监视 整个 网 络 通信 情况 的 设备 叫 作 网 络 监视 器 〈Monitor ) 或 网 络 分 析 器 
(Analyzer)、 探 测 器 〈Probe) 等 。 监 视 器 观察 LAN 上 出 现 的 每 个 分 组 ， 并 进行 统计 和 总 结 ， 
给 管理 人 员 提 供 重 要 的 管理 信息 。 监 视 器 还 能 存储 部 分 分 组 ， 供 以 后 分 析 用 。 监 视 器 也 根据 分 
组 类 型 进行 过 滤 并 捕获 特殊 的 分 组 。 通常 是 每 个 子 网 配置 一 个 监视 器 , 并 且 与 中 央 管 理 站 通信 ， 
因此 叫 作 远程 监视 器 ， 如 图 11-35 所 示 。 图 中 监视 器 可 以 是 一 个 独立 设备 ， 也 可 以 是 运行 监视 
器 软件 的 工作 站 或 服务 器 等 。 中 央 管理 站 具有 RMON 管理 能 力 ， 能 够 与 各 个 监视 器 交换 管理 
信息 。RMON 监视 器 或 探测 器 (RMON Probe) 实现 RMON 管理 信息 库 (RMON MIB)。 这 种 
系统 与 通常 的 SNMP 代理 一 样 包含 一 般 的 MIB， 另 外 还 有 一 个 探测 器 进程 ， 提 供与 RMON 有 
关 的 功能 。 探 测 器 进程 能 够 读 /写本 地 的 RMON 数据 库 ， 并 响应 管理 站 的 查询 请 求 。 所 以 ， 也 
把 RMON 探测 器 称 为 RMON 代理 。 
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RMON Probe 


RMON Probe 
四 
































RMON Probe | 
口 


图 11-35 ”远程 网 络 监视 的 配置 


RMON 定义 了 远程 网 络 监视 的 管理 信息 库 ， 以 及 SNMP 管理 站 与 远程 监视 器 之 间 的 接口 。 
一 般 来 说 ， RMON 的 目标 就 是 监视 子 网 范围 内 的 通信 ， 从 而 减少 管理 站 和 被 管理 系统 之 间 的 通 
信和 负担 。 更 具体 地 说 ，RMON 有 下 列 目 标 : 

(1) 离线 操作 。 必 要 时 管理 站 可 以 停止 对 监视 器 的 轮 询 ， 有 限 的 轮 询 可 以 节省 网 络 带宽 和 
通信 费用 。 

(2) 主动 监视 。 如 果 监 视 器 有 足够 的 资源 ， 通 信和 负载 也 容许 ， 监 视 器 可 以 连续 地 或 周期 地 
运行 诊断 程序 ， 收 集 并 记录 网 络 性 能 参数 。 

(3) 问题 检测 和 报告 。 如 果 主 动 监 视 消 耗 网 络 资源 太 多 ， 监 视 器 也 可 以 被 动 地 获取 网 络 
数据 。 

(4) 提供 增值 数据 。 监 控 器 可 以 分 析 收 集 到 的 子 网 数据 ， 从 而 减轻 了 管理 站 的 计算 任务 。 

(5) 多 管理 站 操作 。 一 个 因特网 可 能 有 多 个 管理 站 ， 这 样 可 以 提高 可 靠 性 ， 或 者 分 布地 实 
现 各 种 不 同 的 管理 功能 。 


11.6.2 RMON 的 管理 信息 库 


RMON 规范 定义 了 管理 信息 库 RMON MIB, 它 是 MIB-2 下 面 的 第 16 个 子 树 。 RMON MIB 
分 为 10 组 ,如 图 11-36 所 示 。 存储 在 每 一 组 中 的 信息 都 是 监视 器 从 一 个 或 几 个 子 网 中 统计 和 收 
集 的 数据 。 这 10 个 功能 组 都 是 任 选 的 ， 但 实现 时 有 下 列 连带 关系 : 

(1) 实现 警报 组 时 必须 实现 事件 组 ， 警 报 就 是 对 某 种 网 络 事件 的 警告 。 

(2) 实现 最 高 台 主 机 组 时 必须 实现 主机 组 ， 因 为 最 高 N 台 主 机 组 是 从 主机 组 中 提取 出 
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来 的 。 
rmon (mib-2 16) 

statistics(1) 以 太子 网 的 统计 信息 
history(2) 子 网 的 周期 性 统计 信息 
alarmG) 用 于 定义 取样 间隔 和 报警 门限 
host(4) 关 于 一 个 主机 的 通信 统计 数据 
hostTopN(5) 某 种 参数 最 大 的 N 台 主机 的 统计 数据 
matrix(6) 一 对 地 址 之 间 的 通信 统计 数据 
filter(7) 对 分 组 进行 过 滤 的 信息 
capture(8) 捕 获 特殊 分 组 的 信息 
event(9) 定 义 网 络 事件 的 信息 
tokenRing (10) 关 于 令 牌 环 网 的 配置 和 统计 信息 


图 11-36 RMON MIB 子 树 


(3) 实现 捕获 组 时 必须 实现 过 滤 组 ， 经 过 过 滤 的 分 组 可 以 被 捕获 。 























11.6.3 RMON2 的 管理 信息 库 rmon (mib-2 16) 

RMON?2 监视 OSVRM 第 3 一 7 层 的 通信 ， 能 对 ee 
数据 链 路 层 以 上 的 分 组 进行 译 码 , 这 使 得 监视 器 可 以 ProtocolDist(12) 
管理 人 P 协议 等 网 络 层 协 议 ， 因 而 能 了 解 分 组 的 源 和 

addressMap(13) 
目标 地 址 , 能 知道 路 由 器 负载 的 来 源 , 使 得 监视 的 范 
围 扩大 到 局 域 网 之 外 。 监 视 器 也 能 监视 应 用 层 协议 ， [一 一 一 mostd4) 
例如 电子 邮件 协议 、 文 件 传输 协议 和 HTTP 协议 等 ， nlMatrix(15) 
这 样 监视 器 就 可 以 记录 主机 应 用 活动 的 数据 ,可 以 显 
示 各 种 应 用 活动 的 图 表 , 这 些 对 网 络 管理 人 员 都 是 很 rtd 
重要 的 信息 。 另 外 , 在 网 络 管理 标准 中 , 通常 把 网 络 alMatrix(17) 
层 之 上 的 协议 叫 作 应 用 层 协 议 , 以 后 提 到 的 应 用 层 包 | usrHistory(18) 
含 OSI 的 5、6、7 层 。 

probeConfig(19) 








RMON?2 扩充 了 原来 的 RMON MIB， 增 加 了 9 
个 新 的 功能 组 ， 如 图 11-37 所 示 。 图 11-37 RMON2 MIB 
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11.7 网络 诊断 和 配置 命令 


Windows 提供 了 一 组 实用 程序 来 实现 简单 的 网 络 配置 和 管理 功能 ， 这 些 实用 程序 通常 以 
DOS 命令 的 形式 出 现 。 用 键盘 命令 来 显示 和 改变 网 络 配置 ， 感 觉 就 像 直 接 操控 硬件 一 样 ， 不 但 
操作 简单 方便 ， 而 且 效 果 立 即 显现 ; 不 但 能 详细 了 解 网 络 的 配置 参数 ， 而 且 提高 了 网 络 管理 的 
效率 。 所 以 ， 掌 握 常 用 的 网 络 管理 命令 是 网 络 管理 人 员 的 基本 技能 ， 必 须 坚持 使 用 ， 才 能 驾 轻 
就 熟 。 

Windows 的 网 络 管理 命令 通常 以 exe 文件 的 形式 存储 在 system32 目录 中 ,在 “开始 ”菜单 
中 运行 命令 解释 程序 Cmd.exe 进入 DOS 命令 窗口 ， 可 以 执行 任何 实用 程序 。 下 面 的 一 些 例子 
都 是 在 DOS 窗口 中 截图 的 。 


11.7.1 ipconfig 








ipconfig 命令 相当 于 Windows 9x 中 的 图 形 化 命令 winipcfg, 是 最 常用 的 Windows 实用 程序 ， 
可 以 显示 所 有 网 卡 的 TCP/IP 配置 参数 ， 可 以 刷新 动态 主机 配置 协议 (DHCP) 和 域名 系统 的 设 
置 。ipconfig 的 语法 如 下 。 


ipconfig [/all] [/renew[Adapter]] [/release[Adapter]] [/flushdns] [/displaydns] [/registerdns] [/showclassid 
Adapter] [/setclassid Adapter [Class1D]] 


对 以 上 命令 参数 解释 如 下 。 

.。 /7 

显示 帮助 信息 ， 对 本 章 中 其 他 命令 有 同样 作用 。 

e /all 

显示 所 有 网 卡 的 TCP/IP 配置 信息 。 如 果 没有 该 参数 ， 则 只 显示 各 个 网 卡 的 下 地址 、 子 网 
掩 码 和 默认 网 关 地 址 。 

e /renew [Adapter] 

更 新 网 卡 的 DHCP 配置， 如果 使 用 标识 符 4dapter 说 明了 网 卡 的 名 字 ， 则 只 更 新 指定 网 卡 
的 配置 ， 否 则 更 新 所 有 网 卡 的 配置 。 这 个 参数 只 能 用 于 动态 配置 PP 的 计算 机 。 使 用 不 带 参数 的 
ipconfig 命令 ， 可 以 列 出 所 有 网 卡 的 名 字 。 

e /release[Adapter] 

向 DHCP 服务 器 发 送 DHCP Release 请 求 ， 释 放 网 卡 的 DHCP 配置 参数 和 当前 使 用 的 中 
地 址 。 

e /flushdns 

刷新 客户 端 DNS 缓存 的 内 容 。 在 DNS 排 错 期 间 ， 可 以 使 用 这 个 命令 丢弃 负 缓 存 项 以 及 其 
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他 动态 添加 的 缓存 项 。 
e /displaydns 
显示 客户 端 DNS 缓存 的 内 容 ， 该 缓存 中 包含 从 本 地 主机 文件 中 添加 的 预 装载 项 ， 以 及 最 

近 通 过 名 字 解 析 查 询 得 到 的 资源 记录 。 DNS 客户 端 服务 使 用 这 些 信 息 快速 处 理 经 常 出 现 的 名 字 

查询 。 
® /registerdns 
刷新 所 有 DHCP 租约 ， 重 新 注册 DNS 名 字 。 在 不 重启 计算 机 的 情况 下 ， 可 以 利用 这 个 参 

数 来 排除 DNS 名 字 注 册 中 的 故障 ， 解 决 客户 端 和 

DNS 服务 器 之 间 的 手工 动态 更 新 间 题 ， 可 以 利用 

“高 级 TCP/IP 设置 ”来 注册 本 地 连接 的 DNS 后 级 ， 

如 图 11-38 所 示 。 
® /showclassid Adapter 
显示 网 卡 的 DHCP 类别 ID。 利 用 通配符 “*?” 

代替 标识 符 Adapter， 可 以 显示 所 有 网 卡 的 DHCP 类 

别 ID。 这 个 参数 仅 适用 于 自动 配置 卫 地址 的 计算 


| 理 设 置 | NS wrxs Ji 过 项 | 
DIS 服务 器 地 址 ( 控 使 用 顺序 排列 ) QD 


ts ] 到 
到 


| 添加 (oo | 过往 珊 了 叫 ) 


> i TCP/I 的 连接 。 要 解析 不 合格 的 


回 附 加 主要 的 和 连接 特定 的 DNS 后 最 中 ) 
加 附加 主 DRS 后 如 的 父 后 妖 &) 
口 附加 这 些 DNS 后 如 ( 控 顺 序 ) QD 











机 ， 可 以 根据 某 种 标准 把 DHCP 客户 端 划分 成 不 同 ee 
的 类 别 ， 以 便于 管理 。 例 如 ， 将 移动 客户 划分 到 租 i 一 
约 期 较 短 的 类 , 将 固定 客户 划分 到 租约 期 较 长 的 类 。 | ss ns jm i 

® /setclassid Adapter[ClassID] 国人 

对 指定 的 网 卡 设置 DHCP 类 别 ID。 如 果 未 指定 CE 








DHCP 类 别 JP， 则 会 删除 当前 的 类 别 ID。 
如 果 Adapter 名 称 包 含 空 格 ， 则 要 在 名 称 两 边 图 11-38 ”高 级 TCP/IP 设置 
使 用 引号 〈 即 "Adapter 名 称 ")。 在 网 卡 名 称 中 可 以 使 用 通配符 星 号 “*” 例如 ，Local* 可 以 代 
表 所 有 以 字符 串 Local 开头 的 网 卡 ， 而 *Con* 可 以 表示 所 有 包含 字符 串 Con 的 网 卡 。 
ipconfig 命令 最 适合 于 自动 分 配 他 地 址 的 计算 机 , 使 用 户 可 以 明确 区 分 DHCP 或 自动 专用 
四 地 址 (APIPA) 配置 的 参数 。 
举例 如 下 。 
(1) 如 果 要 显示 所 有 网 卡 的 基本 TCP/IP 配置 参数 ， 输 入 : 


ipconfig 
(2) 如 果 要 显示 所 有 网 卡 的 完整 TCP/P 配置 参数 ， 输 入 : 


ipconfig /all 
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(3) 如 果 仅 更 新 本 地 连接 的 网 卡 由 DHCP 分 配 的 下 地 址 ， 输 入 : 











ipconfig /renew "Local Area Connection" 

(4) 在 排除 DNS 名 称 解析 故障 时 ， 如 果 要 刷新 DNS 解析 器 缓存 ， 输 入 : 
ipconfig /fushdns 

(5) 如 果 要 显示 名 称 以 Local 开头 的 所 有 网 卡 的 DHCP 类 别 ID， 输 入 : 
ipconfig /showclassid Local* 

(6) 如 果 要 将 “本 地 连接 ”网 卡 的 DHCP 类 别 ID 设置 为 TEST， 输 入 : 


ipconfig /setclassid "Local Area Connection" TEST 


图 11-39 是 用 ipconfig/all 命令 显示 的 网 络 配 置 参数 ， 其 中 列 出 了 主机 名 、 网 卡 物理 地 址 和 


DHCP 租约 期 由 DHCP 分 配 的 人 地址 、 子 网 掩 码 、 默 认 网 关 和 DNS 服务 器 的 他 地 址 等 
参数 。 图 11-40 是 利用 参数 showclassid 显示 的 “本 地 连接 ”的 类 别 标识 。 


iS 980-Based PCI Past Ethernet Adaptor 
: 68-83-8D-87-83-7F 


= 188.188- 





图 11-39 ipconfig 命令 显示 的 结果 





图 11-40 ipconfig/showclassid 命令 显示 的 结果 


1 9 


上 且 . 


seo 
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11.722. ping 


ping 命令 通过 发 送 ICMP 回声 请 求 报 文 来 检验 与 另外 一 个 计算 机 的 连接 。 这 是 一 个 用 于 排 
除 连 接 故 障 的 测试 命令 ， 如 果 不 带 参数 则 显示 帮助 信息 。ping 命令 的 语法 如 下 。 


ping [-t] [-a] [-n Couni] [-1 Size] [-f] [-i 77Z] [-v TOS] [-r Couni] [-s Counit] [{-] HostList | -k HostList}] 
[-w Timeout] [TargetName] 


对 以 上 命令 参数 解释 如 下 。 

. 流 

持续 发 送 回声 请 求 直 到 输入 CtrlHBreak 或 CtltC 被 中 断 , 前 者 显示 统计 信息 ,后 者 不 显示 
统计 信息 。 

® -a 


用 了 正 地 址 表示 目标 ， 进 行 反 向 名 字 解 析 ， 如 果 命令 执行 成 功 ， 则 显示 对 应 的 主机 名 。 
e -nCount 


说 明 发 送 回声 请 求 的 次 数 ， 默 认为 4 次 。 


e -Size 

说 明了 回声 请 求 报 文 的 字 节 数 ， 默 认 是 32， 最 大 为 65 527。 

e 二 

在 正 头 中 设置 不 分 段 标 志 ， 用 于 测试 通路 上 传输 的 最 大 报 文 长 度 。 

e -177Z 

说 明 耳 头 中 ITTL 字段 的 值 ,通常 取 主机 的 TIL 值 , 对 于 Windows XP 主机 , 这 个 值 是 128， 
最 大 为 255。 

®。 -viOS 


说 明了 下 头 中 TOS (Type of Service) 字段 的 值 ， 默 认 值 是 0。 

® -TCount 

在 正 头 中 添加 路 由 记录 选项 ，Count 表示 源 和 目标 之 间 的 跃 点 数 ， 其 值 在 1 一 9 之 间 。 
® -SCoant 


在 四 头 中 添加 时 间 蕉 (timestamp) 选项 ， 用 于 记录 达到 每 一 跃 点 的 时 间 ，Count 的 值 在 1 一 4 


之 间 。 

® -HostList 

在 下 头 中 使 用 松散 源 路 由 选项 ，HostList 指明 中 间 节 点 (路 由 器 的 地 址 或 名 字 ， 最 多 9 
个 ， 用 空格 分 开 。 


e  -kHostList 
在 下 头 中 使 用 严格 源 路 由 选项 ，HostList 指明 中 间 节 点 (路 由 器 的 地 址 或 名 字 ， 最 多 9 
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用 空格 分 开 。 

® -wTimeout 

指明 等 待 回 声响 应 的 时 间 (hs)， 如 果 响 应 超时 ， 则 显示 出 错 信息 Request timed out， 默 认 
超时 间隔 为 4s。 

e TargetName 

用 下 地 址 或 主机 名 表示 目标 设备 。 

使 用 ping 命令 必须 安装 并 运行 TCP/IP 协议 ， 可 以 使 用 下 地址 或 主机 名 来 表示 目标 设备 。 
如 果 ping 一 个 中 地址 成 功 ， 但 ping 对 应 的 主机 名 失败 ， 则 可 以 断定 名 字 解 析 有 问题 。 无 论 名 
字 解 析 是 通过 DNS、NetBIOS， 还 是 通过 本 地 主机 文件 ， 都 可 以 用 这 个 方法 进行 故障 诊断 。 

举例 如 下 。 

(1) 如 果 要 测试 目标 10.0.99.221 并 进行 名 字 解 析 ， 则 输入 


ping -a 10.0.99.221 





(2) 如 果 要 测试 目标 10.0.99.221， 发 送 10 次 请 求 ， 每 个 响应 为 1000 字 节 ， 则 输入 
ping -n 10 -1 1000 10.0.99.221 
(3) 如 果 要 测试 目标 10.0.99.221， 并 记录 4 个 跃 点 的 路 由 ， 则 输入 


ping -r 4 10.0.99.221 











(4) 如 果 要 测试 目标 10.0.99.221， 并 说 明 松 散 源 路 由 ， 则 输入 
ping -j 10.12.0.1 10.29.3.1 10.1.44.1 10.0.99.221 


图 11-41 所 示 为 ping www.163.com.cn 的 结果 。 





图 11-41 ping 命令 的 显示 结果 

















arp 命令 用 于 显示 和 修改 地 址 解析 协议 缓存 表 的 内 容 ， 缓 存 表 项 是 中 地 址 与 网 卡 地 址 对 。 


so 
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计算 机 上 安装 的 每 个 网 卡 各 有 一 个 缓存 表 。 如 果 使 用 不 含 参数 的 arp 命令 ， 则 显示 帮助 信息 。 
arp 命令 的 语法 如 下 : 

arp [-a [InetiAddr] [-N WaceAddr]] [-g [Inei4ddr] [-N YaceAddr]] [-d InetAddr [JfaceAddr]] [-s InetAddr 
EtherAddr [JfaceAddr]] 


对 以 上 命令 参数 解释 如 下 。 

e -ametdddr] [-N JfaceAddr] 

显示 所 有 接口 的 ARP 缓存 表 。 如 果 要 显示 特定 他 地 址 的 ARP 表 项 , 则 使 用 参数 InetAddr; 
如 果 要 显示 指定 接口 的 ARP 缓存 表 , 则 使 用 参数 -N IfaceAddr。 这 里 , N 必须 大 写 。 InetAddr 
和 IfaceAddr 都 是 也 地 址 。 

e -gl[InetAddr] [-N JaceAddr] 

与 参数 -a 相同 。 

® -diInetAddr[ JaceAddr |] 

删除 由 InetAddr 指示 的 ARP 缓存 表 项 。 如 果 要 删除 特定 接口 的 ARP 缓存 表 项 ， 使 用 
参数 IaceAddr 指明 接口 的 了 P 地 址 ， 如 果 要 删除 所 有 ARP 缓存 表 项 ， 使 用 通配符 “*” 代 
禁 参 数 InetAddr。 

® -sf/InetAddr EtherAddr {[ JfaceAddr] 

添加 一 个 静态 的 ARP 表 项 ,把 他 地 址 InetAddr 解析 为 物理 地 址 EtherAddr。 参 数 IfaceAddr 
指定 了 接口 的 下 地址。 

全 地址 InetAddr 和 IfaceAddr 用 点 分 十 进 制 表示 。 物 理 地 址 EtherAddr 由 6 个 字 节 组 成 ， 
每 个 字 节 用 两 个 十 六 进 制 数 表示 ， 字 节 之 间 用 连 字符 “-” 分 开 ， 例 如 00-AA-00-4F-2A-9C。 

用 参数 -s 添加 的 ARP 表 项 是 静态 的 , 不 会 由 于 超时 而 被 删除 。 如果 TCP/IP 协议 停止 运行 ， 
ARP 表 项 都 被 删除 。 为 了 生成 一 个 固定 的 静态 表 项 ， 可 以 在 批文 件 中 加 入 适当 的 arp 命令 ， 并 
在 计算 机 启动 时 运行 批文 件 。 

举例 如 下 。 

(1) 如 果 要 显示 ARP 缓存 表 的 内 容 ， 输 入 : 





























arp -a 
(2) 如 果 要 显示 人 P 地 址 为 10.0.0.99 的 接口 的 ARP 缓存 表 ， 输 入 : 
arp -a -N 10.0.0.99 


(3) 如 果 要 添加 一 个 静态 表 项 ， 把 人 P 地 址 10.0.0.80 解析 为 物理 地 址 00-AA-00-4F-2A-9C， 
则 输入 : 


arp -s 10.0.0.80 00-AA-00-4F-2A-9C 
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图 11-42 所 示 为 使 用 arp 命令 添加 一 个 静态 表 项 的 例子 。 


ARdminis 


Gx18883 
al Addr Type 
dynanic 


IC: \Docunents and Settings\Adni ratorYarp -s 282.117.17.254 G0-1c-4f-! 


:Docume nd Settings\Adninis 


Interface 
Interne 
199.19B.17.7 9 dynanic 
199.199.17 98-49-d9-53-bf- dynanic 
199.199.17 88-9f ‘ dynanic 
292 .117 98-1c-4f c static 





图 11-42 ”使 用 arp 命令 的 例 


11.7.4 netstat 


netstat 命令 用 于 显示 TCP 连接 .计算机 正在 监听 的 端口 以太 网 统计 信息 、 卫 路 由 表 、IPv4 
统计 信息 (包括 全、ICMP、TCP 和 UDP 等 协议 ) 和 JPv6 统计 信息 (包括 IPv6、ICMPv6、TCP 
over IPv6 和 UDP over IPv6 等 协议 ) 等 。 如 果 不 使 用 参数 ， 则 显示 活动 的 TCP 连接 。netstat 命 
令 的 语法 如 下 。 

netstat [-a] [-e] [-n] [-o] [-p Protoco/] [-r] [-s] [zervo 如 


对 以 上 参数 解释 如 下 。 


. -a 
显示 所 有 活动 的 TCP 连接 ， 以 及 正在 监听 的 TCP 和 UDP 端口 。 
入 -€ 


显示 以 太 网 统计 信息 ， 例 如 发 送 和 接收 的 字 节 数 ， 以 及 出 错 的 次 数 等 。 这 个 参数 可 以 与 -s 
参数 联合 使 用 。 
. “和 
显示 活动 的 TCP 连接 ， 地 址 和 端口 号 以 数字 形式 表示 。 
外 “起 
显示 活动 的 TCP 连接 以 及 每 个 连 交 对 应 的 进程 ID。 在 Windows 任务 管理 器 中 可 以 找到 与 
进程 ID 对 应 的 应 用 。 这 个 参数 可 以 与 -a、-n 和 -p 联合 使 
e -ppProtocol 
用 标识 符 Protocol 指定 要 显示 的 协议 ， 可 以 是 TCP、UDP、TCPv6 或 者 UDPv6。 如 果 与 参 
数 -s 联合 使 用 ， 则 可 以 显示 协议 TCP、UDP、ICMP、 卫 了 、TCPv6、UDPv6、ICMPv6 或 Pv6 的 



































sb 
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统计 数据 。 

. -5 

显示 每 个 协议 的 统计 数据 。 默 认 情 况 下 ， 统 计 TCP、UDP、ICMP 和 卫 协议 发 送 及 接收 
的 数据 包 、 出 错 的 数据 包 、 连 接 成 功 或 失败 的 次 数 等 。 如 果 与 -p 参数 联合 使 用 ， 可 以 指定 要 显 


示 统 计数 据 的 协议 。 

® -I 

显示 也 路 由 表 的 内 容 ， 其 作用 等 价 于 路 由 打印 命令 route print。 

® Interval 

说 明 重新 显示 信息 的 时 间 间 隔 , 输入 CtltC 则 停 目 显示。 如果 不 使 用 这 个 参数 ， 则 只 显示 
一 次 。 


netstat 显示 的 统计 信息 分 为 4 栏 或 5 栏 ， 解 释 如 下 。 

。 ”Proto: 表示 协议 的 名 字 〈 例 如 TCP 或 UDP)。 

。 Local Address: 本 地 计算 机 的 地 址 和 端口 。 通 常 显示 本 地 计算 机 的 名 字 和 端口 名 字 ( 例 
如 ftp)， 如 果 使 用 了 -n 参数 ， 则 显示 本 地 计算 机 的 了 P 地 址 和 端口 号 。 如 果 端 口 尚 未 建 
立 ， 则 用 “*” 表 示 。 

。 Foreign Address: 远程 计算 机 的 地 址 和 端口 。 通 常 显示 远程 计算 机 的 名 字 和 端口 名 字 
(例如 ftp)， 如 果 使 用 了 -n 参数 ， 则 显示 远程 计算 机 的 了 P 地 址 和 端口 号 。 如 果 端 口 尚 
未 建立 ， 则 用 “*” 表 示 。 

。 State: 表示 TCP 连接 的 状态 ， 用 下 面 的 状态 名 字 表 示 。 

CLOSE WAIT: 收 到 对 方 的 连接 释放 请 求 。 

CLOSED: 连接 已 关闭 。 

ESTABLISHED: 连接 已 建立 。 

FIN WAIT 1: 已 发 出 连接 释放 请 求 。 

FIN_WAIT 2: 等 待 对 方 的 连接 释放 请 求 。 

LAST_ACK: 等 待 对 方 的 连接 释放 应 答 。 

LISTEN: 正在 监听 端口 。 

SYN_RECEIVED: 收 到 对 方 的 连接 建立 请 求 。 

SYN_SEND: 已 主动 发 出 连接 建立 请 求 。 

TIMED_WAIT: 等 待 一 段 时 间 后 将 释放 连接 。 

举例 如 下 。 

(1) 如 果 要 显示 以 太 网 的 统计 信息 和 所 有 协议 的 统计 信息 ， 则 输入 : 


VvVvYVvVYvYvvyvyvyvyv 


netstat -e -s 





(2) 如 果 要 显示 TCP 和 UDP 协议 的 统计 信息 ， 则 输入 
netstat -s -p tcp udp 
(3) 如 果 要 显示 TCP 连接 及 其 对 应 的 进程 ID， 每 4s 显示 一 次 ， 则 输入 : 


nbtstat -o 4 














(4) 如 果 要 以 数字 形式 显 其 对 应 的 进程 DD， 则 输入 : 





nbtstat -n -0 


-次 ， 直 到 输入 Ctrl+C 结 





图 11-43 是 命令 netstat -o 4 显示 的 统计 信息 ， 每 4s 显示 


C:\Documents and Settings\Adninistratormnetstat -o 


Active Connections 


Foreign hddre 
121.11.159.288: 


Proto Local fAddm Foreign hddre State 
ICP x4e 7 121.11.15， SYN_SENT 


Active Co 


Proto Loca ~ Foreign hd 


121.11.159. 


3896 





图 11-43 命令 netstat -o 4 显示 的 统计 信息 


11.7.5 tracert 








tracert 命令 的 功能 是 确定 到 达 目 标的 路 径 ， 并 显示 通路 上 每 一 个 中 间 路 由 器 的 卫 地 址 。 通 
过 多 次 向 目标 发 送 ICMP 回声 (echo) 请 求 拆 文 ， 每 次 增加 人 P 头 中 TIL 字段 的 值 ， 就 可 以 确 
定 到 达 各 个 路 由 器 的 时 间 。 显 示 的 地 址 是 路 由 器 接近 源 这 一 边 的 端口 地 址 。tracert 命令 的 语 
如 下 : 
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tracert [-d] [-h MaximaumHops] [-] HostList| [-w Timeout] [TargetName] 


对 以 上 参数 解释 如 下 。 

. -d 

不 进行 名 字 解 析 ， 显 示 中 间 节 点 的 下 地址 ， 这 样 可 以 加 快 跟踪 的 速度 。 

。° -hMaximumHops 

说 明 地 址 搜索 的 最 大 跃 点 数 ， 默 认 值 是 30 跳 。 

® -HostList 

说 明 发 送 回声 请 求 报 文 要 使 用 人 P 头 中 的 松散 源 路 由 选项 ， 标 识 符 HostList 列 出 必须 经 过 
的 中 间 节 点 的 地 址 或 名 字 ， 最 多 可 以 列 出 9 个 中 间 节 点 ， 各 个 中 间 节 点 用 空格 隔 开 。 

® -wTimeout 

说 明了 等 待 ICMP 回声 响应 报 文 的 时 间 (hs)， 如 果 接 收 超时 ， 则 显示 星 号 “*”， 默认 起 
时 间隔 是 4s。 

e TargetName 

用 了 正 地 址 或 主机 名 表示 的 目标 。 

这 个 诊断 工具 通过 多 次 发 送 ICMP 回声 请 求 报 文 来 确定 到 达 目 标的 路 径 ,每 个 报 文 中 TTL 
字段 的 值 都 是 不 同 的 。 通 路 上 的 路 由 器 在 转发 人 P 数据 报 之 前 先 要 将 TTL 字段 减 1， 如 果 TIL 
为 0， 则 路 由 器 就 向 源 端 返回 一 个 超时 〈Time Exceeded) 报 文 ， 并 丢弃 原来 要 转发 的 报 文 。 在 
tracert 第 一 次 发 送 的 回声 请 求 报 文中 置 TTL=1， 然 后 每 次 加 1， 这 样 就 能 收 到 沿途 各 个 路 由 器 
返回 的 超时 报 文 , 直至 收 到 目标 返回 的 ICMP 回声 响应 报 文 。 如 果 有 的 路 由 器 不 返回 超时 报 文 ， 
那么 这 个 路 由 器 就 是 不 可 见 的 ， 显 示 列 表 中 用 星 号 “*” 表 示 。 

举例 如 下 。 

(1) 如 果 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 则 输入 : 


tracert corp7.microsoft.com 


(2) 如 果 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 并 且 不 进行 名 字 解 析 ， 只 显示 中 间 
节点 的 下 地址 ， 则 输入 : 


tracert -d corp7.microsoft.com 
(3) 如 果 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 并 使 用 松散 源 路 由 ， 则 输入 : 
tracert -] 10.12.0.1 10.29.3.1 10.1.44.1 corp7.microsoft.com 


如 图 11-44 所 示 为 利用 命令 tracert www.163.com.cn 显 示 的 路 由 跟踪 列表 。 
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和 :Documents and Settings\hdministrator>tracert www.163.con.cn 


s.it-comn.net [128.168.29-254] 


Trace conplete 





图 11-44 ”tracert 的 显示 结果 


11.7.6 pathping 


pathping 结合 了 ping 和 tracert 两 个 命令 的 功能 , 可 以 显示 通信 线路 上 每 个 子 网 的 延迟 和 丢 


包 率 。pathping 在 一 段 时 间 内 向 通路 中 的 各 个 路 由 器 发 送 多 个 回声 请 求 报 文 ， 然 后 根据 每 个 路 
由 器 返回 的 数据 包 计算 统计 结果 。 由 于 pathping 命令 显示 了 每 个 路 由 器 (或 链 路 ) 丢失 数据 包 
的 程度 ， 所 以 用 户 可 以 据 此 确定 哪些 路 由 器 或 者 子 网 存在 通信 问题 。pathping 命令 的 语法 如 下 : 

pathping [-n] [-h MaximumHops] [-g HostList] [-p Period] [-q NumQueries [-w Timeout] [-T] [-R] 

[TargetName] 

对 以 上 参数 解释 如 下 。 

。 -nh 

不 进行 名 字 解 析 ， 以 加 快 显示 速度 。 

®。  -hMaximumHops 

说 明了 搜索 目标 期 间 的 最 大 跃 点 数 ， 默 认 是 30。 

e -gHostList 

在 发 送 回 声 请 求 报 文 时 使 用 松散 源 路 由 ， 标 识 符 HostList 列 出 了 中 间 节 点 的 名 字 或 地 址 。 
最 多 可 以 列 出 9 个 中 间 节 点 ， 用 空格 分 开 。 

e -pPeriod 

说 明 两 次 ping 之 间 的 时 间 间 隔 (ms)， 默 认为 1/4s。 

e -qdNumOueries 


说 明 发 送 给 每 个 路 由 器 的 回声 请 求 报 文 的 数量 ， 默 认为 100 个 。 
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® -Ww Timeout 

说 明 每 次 等 待 回 声响 应 的 时 间 ， 默 认 是 3s。 

。 -TT 

对 发 送 的 回声 请 求 数据 包 附加 上 第 二 层 优先 标志 〈 例 如 802.1p)。 这 样 可 以 测试 出 不 具备 
区 分 第 二 层 优先 级 能 力 的 设备 ， 这 个 开关 用 于 测试 网 络 连接 提供 不 同 服务 质量 的 能 力 。 





。 -R 

确定 通路 上 的 设备 是 否 支持 资源 预约 协议 (RSVP)， 这 个 开关 用 于 测试 网 络 连接 提供 不 同 
服务 质量 的 能 力 。 

® TargetName 

用 下 地 址 或 名 字 表 示 的 目标 。 


pathping 命令 的 参数 是 大 小 写 敏感 的 ， 所 以 T 和 RR 必须 大 写 。 为 了 防止 网 络 拥塞 ，ping 的 
频率 不 能 太 快 ， 这 样 也 可 以 防止 突 发 性 地 丢 包 。 

当 使 用 -p Period 参数 时 ， 对 每 一 个 中 间 节 点 一 次 只 发 送 一 个 回声 请 求 包 ， 对 同一 个 节点 ， 
两 次 ping 之 间 的 时 间 间 隔 是 PeriodX 跃 点 数 。 

当 使 用 -w Timeout 参数 时 ， 多 个 回声 请 求 包 并 行 地 发 出 ， 因 此 标识 符 Timeout 规定 的 时 间 
并 不 受 由 Period 规定 的 时 间 限 制 。 

IEEE 802.1p 标准 使 得 局 域 网 交换 机 具有 以 优先 级 区 分 信息 流 的 能 力 ， 向 支持 声音 、 图 像 
和 数据 的 综合 业务 方面 迈进 了 一 步 。802.1p 定义 了 8 种 不 同 的 优先 级 ， 分 别 用 于 支持 时 间 关 键 
的 通信 (例如 RIP 和 OSPF 的 路 由 更 新 报 文 )， 延 迟 敏感 的 应 用 〈 例 如 交互 式 语音 和 视频 )， 可 
控 负 载 的 多 媒体 流 ， 重 要 的 SAP 数据 以 及 尽力 而 为 (best-effort〉 的 通信 等 。 符 合 802.1p 规范 
的 交换 机 具有 多 队列 缓冲 硬件 ， 可 以 对 较 高 优先 级 的 分 组 进行 快速 处 理 ， 使 得 这 些 分 组 能 够 越 
过 低级 别 分 组 而 迅速 通过 交换 机 。 

在 传统 的 单一 缓冲 区 交换 机 中 ， 当 信息 传输 出 现 拥塞 时 ， 所 有 分 组 将 平等 地 排队 等 待 , 直 
到 可 继续 前 进 。 由 于 传统 设备 不 能 识别 第 二 层 优先 级 标签 ， 那 些 带 有 优先 标签 的 分 组 就 会 被 丢 
弃 ， 所 以 应 用 开关 了 可 以 区 分 传统 交换 机 与 可 提供 第 二 层 优先 级 的 交换 机 。 

R 参数 用 于 对 资源 预约 协议 的 测试 。RSVP 预约 报 文 在 会 话 开始 之 前 首先 发 送 给 通路 上 的 
每 一 个 设备 。 如 果 设 备 不 支持 RSVP， 它 返回 一 个 ICMP “目标 不 可 到 达 ” 报 文 ; 如 果 设 备 支持 
RSVP， 它 返回 一 个 “预约 错误 信息 ” 报 文 。 有 一 些 设备 什么 信息 也 不 返回 ， 如 果 这 种 情况 出 
现 ， 则 显示 超时 信息 。 

图 11-45 的 例子 显示 了 命令 C:>pathping -n corpl 的 输出 。pathping 运行 时 产生 的 第 一 个 结 
果 就 是 路 径 列 表 ， 与 tracert 命令 显示 的 结果 相同 。 接 着 出 现 一 个 大 约 125s 的 “ 忙 ”消息 ,， 忙 时 
间 的 长 短 随 着 跃 点 数 的 多 少 有 所 变化 。 在 这 期 间 ， 从 上 述 列表 中 的 路 由 器 以 及 它们 之 间 的 链 路 


收集 统计 信息 ， 最 后 显示 测试 结果 。 


0 
3 
3 
4 
5 


Hop 
0 
E 


2 


5 





在 图 11-45 所 示 的 样本 报告 中 ,Node/Link、Lost/Sent=Pct 和 Address 栏 显示 :在 172.16.87.218 
与 192.168.52.1 之 间 的 链 路 上 丢 包 率 是 13%。 第 二 跳 和 第 四 跳 的 路 由 器 也 丢失 了 数据 包 ， 但 是 
对 于 它们 转发 的 通信 量 不 会 产生 影响 。 在 图 中 的 地 址 栏 (Address) 中 ， 以 直 杠 “|” 标 识 由 于 


172.16.87.35 


172.16.87.218 


192-168-52-1 
192.168.80.1 
10.54.247.14 
10.54.1.196 


RTT 


24ms 


Source to Here 


Trace complete. 


Tracing route to CorpT [10.54-1.196] 
over a maximum of 30 hops: 


Computing statistics for 125 seconds... 
This Node/Link 
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Lost/Sent = Pct Lost/Sent = Pct Address 
172.16.87:35 

0/ 100 = 0% 1 

0/ 100 = os 0/ 100 = 0% 172.16.87.218 
13/ 100 = 13% | 

16/ 100 = 16% 3/ 100 = 3% 192.168.52.1 
0/ 100= 0% 1 

13/ 100 = 13% 0/ 100 = 0% 192.168.80.1 
0/ 100= 0% 1 

14/ 100 = 14% 1/ 100 = 1% 10.54.247.14 
0/ 100= o 1 

13/ 100 = 13% 0/ 100 = 0% 10.54.1.196 

图 11-45 命令 pathping 的 显示 结果 


链 路 拥塞 而 产生 的 丢 包 ， 至 于 路 由 器 丢 包 的 原因 ， 则 可 能 是 设备 过 载 了 。 


11.7.7 nbtstat 


这 个 命令 显示 NetBT (NetBIOS over TCP/IP) 协议 的 统计 信息 ， 包 括 本 地 计算 机 和 远程 计 


算 机 的 NetBIOS 名 字 表 ， 以 及 NetBIOS 名 字 缓 存 。nbtstat 也 可 以 刷新 NetBIOS 名 字 缓 存 ， 
新 已 经 注册 了 的 WINS 名 字 。nbtstat 命令 的 语法 如 下 。 


nbtstat [-a RemoteName] [-A IP4ddress] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Interval] 


对 以 上 参数 解释 如 下 。 
。 -aRemoteName 


显示 远程 计算 机 的 NetBIOS 名 字 表 ， 用 标识 符 RemoteName 指示 远程 计算 机 的 名 字 。 


e -AIPAddress 


显示 远程 计算 机 的 NetBIOS 名 字 表 ， 用 标识 符 IPAddress 指示 远程 计算 机 的 人 P 地 址 。 


so 
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四 -C 

显示 NetBIOS 名 字 缓 存 的 内 容 。 

和 -了 

显示 本 地 计算 机 的 NetBIOS 名 字 表 。 

. be 

显示 NetBIOS 名 字 解 析 的 统计 数据 。 在 配置 了 WINS 的 Windows XP 计算 机 上 ， 这 个 参数 
返回 通过 广播 解析 的 名 字 ， 以 及 通过 WINS 服务 器 解析 的 名 字 。 


。 -R 

清除 NetBIOS 名 字 缓 存 ， 并 从 Lmhosts 文件 装载 带 有 标签 部 RE 的 预 加 载 项 目 。 
。 -RR 

释放 并 刷新 本 地 计算 机 在 WINS 服务 器 中 注册 的 名 字 。 

. = 

显示 NetBIOS 客户 端 与 服务 器 的 会 话 ， 并 把 目标 瑟 地 址 转换 为 名 字 。 

® -S 

显示 NetBIOS 客户 端 与 服务 器 的 会 话 ， 用 卫 地 址 表示 远程 计算 机 。 

e Interval 


多 次 显示 统计 数据 ， 显 示 的 间隔 时 间 由 标识 符 Interval ( 秒 ) 表示 ， 直 至 输入 CtrltC 停止 
显示 。 如 果 这 个 参数 缺失 ， 只 显示 一 次 。 

nbtstat 命令 行 参数 是 大 小 写 敏感 的 ， 所 以 -A，-R，-RR 和 -S 等 必须 大 写 。 

表 11-8 表示 nbtstat 命令 显示 的 列表 栏目 的 含义 。 表 11-9 说 明了 NetBIOS 连接 的 状态 。 


表 11-8 nbtstat 列表 栏目 的 含义 




















栏 目 解 释 
Input 接收 的 字 节 数 
Output 发 送 的 字 节 数 
In/Out 连接 是 入 径 (inbound) 或 出 径 (outbound) 
Life 名 字 缓 存 表 项 的 剩余 生命 期 
Local Name NetBIOS 连接 的 本 地 名 字 
Remote Host 远程 计算 机 的 名 字 或 地 址 
Type 名 字 的 类 型 ， 可 以 是 唯一 名 字 (unique) 或 组 名 字 (group) 
Status 已 注册 (Registered)， 冲 突 (Conflict) 
State NetBIOS 连接 的 状态 
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表 11-9 NetBIOS 连接 的 状态 



























状 态 解 释 

Connected 会 话 已 经 建立 

Associated 连接 端点 已 经 产生 ， 并 分 配 了 一 个 人 P 地 址 

Listening 端点 正在 等 待 入 径 连 接 

Idle 端点 已 经 打开 ， 但 不 能 解释 连接 

Connecting 会 话 处 于 建立 阶段 ， 正 在 解析 目标 的 名 人 

Accepting 正在 解释 一 个 入 径 会 话 ， 连 接 很 

Reconnecting 

Outbound 本 正在 建立 连接 阶段 ，TCP 连接 已 经 生成 

Inbound 一 个 入 径 会 话 处 于 建立 连接 阶段 

Disconnecting 会 话 正在 断 开 阶段 

Disconnected 本 地 计算 机 发 出 了 释放 连接 请 求 ， 正 在 等 待 远 端 系统 的 应 答 
举例 如 下 。 
(1) 如 果 要 显示 远 端 计算 机 CORP07 的 NetBIOS 名 字 表 ， 则 输入 : 


nbtstat -a CORP07 

(2) 如 果 要 显示 地 址 为 10.0.0.99 的 远 端 计 算 机 的 NetBIOS 名 字 表 ， 则 输入 : 

nbtstat -A 10.0.0.99 

(3) 如 果 要 显示 本 地 计算 机 的 NetBIOS 名 字 表 ， 则 输入 : 

nbtstat -n 

(4) 如 果 要 显示 本 地 计算 机 NetBIOS 名 字 缓 存 的 内 容 ， 则 输入 : 

nbtstat -c 

(5) 如 果 要 清除 NetBIOS 名 字 缓 存 ， 并 从 本 地 Lmhosts 文件 重 装 预 加 载 项 目 ， 则 输入 : 


nbtstat -R 


(6) 如 果 要 释放 本 地 计算 机 在 WINS 服务 器 中 注册 的 NetBIOS 名 字 并 重新 注册 ， 则 输入 : 


nbtstat -RR 


(7) 如 果 要 显示 NetBIOS 会 话 统 计数 据 ， 每 5s 显示 一 次 ， 则 输入 : 


oo 


co 


网 络 工程 师 教程 (第 5 版 ) 
nbtstat -S5 


11.7.8 route 


这 个 命令 的 功能 是 显示 和 修改 本 地 的 IP 路 由 表 ， 如 果 不 带 参数 ， 则 给 出 帮助 信息 。route 
命令 的 语法 如 下 。 


route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]] 


对 以 上 参数 解释 如 下 。 

。 f 

删除 路 由 表 中 的 网 络 路 由 《〈 子 网 掩 码 不 是 255.255.255.255)、 本 地 环 路 路 由 (目标 地 址 为 
127.0.0.0， 子 网 掩 码 为 255.0.0.0) 和 组 播 路 由 (目标 地 址 为 224.0.0.0， 子 网 掩 码 为 240.0.0.0)。 
如 果 与 其 他 命令 (例如 add、change 或 delete) 联合 使 用 ， 在 运行 这 个 命令 前 先 清除 路 由 表 。 

二 

与 add 命令 联合 使 用 时 ， 一 条 路 由 被 添加 到 注册 表 中 ， 当 TCP/IP 协议 启动 时 ， 用 于 初始 
化 路 由 表 。 在 默认 情况 下 ， 系 统 重新 启动 时 不 保留 添加 的 路 由 。 与 print 命令 联合 使 用 时 ， 则 显 
示 持 久 路 由 列表 。 对 于 其 他 命令 , 这 个 参数 被 忽略 持久 路 由 保存 在 注册 表 中 的 HKREY LOCAL 
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \PersistentRoutes 位 置 。 


® Command 


表示 要 运行 的 命令 ， 可 用 的 命令 如 表 11-10 所 示 。 
表 11-10 可 用 的 命令 





命令 用 泛 
add 删除 路 由 
change 修改 已 有 的 路 由 | pt | 打印 路 由 





e Destination 

说 明 目 标 地 址 ， 可 以 是 网 络 地 址 (IP 地 址 中 对 应 主机 的 位 都 是 0)、 主 机 地 址 或 默认 路 由 
(0.0.0.0)。 

e maskNetmask 

说 明了 目标 地 址 对 应 的 子 网 掩 码 。 网 络 地 址 的 子 网 掩 码 依据 网 络 的 大 小 而 变化 ， 主 机 地 址 
的 子 网 掩 码 为 255.255.255.255， 默 认 路 由 的 子 网 掩 码 为 0.0.0.0。 如 果 忽 略 了 这 个 参数 ， 默 认 的 
子 网 掩 码 为 255.255.255.255。 由 于 在 路 由 寻 址 中 具有 关键 作用 ， 所 以 目标 地 址 不 能 特异 于 对 应 
的 子 网 掩 码 。 换 而 言 之 ， 如 果子 网 掩 码 的 某 位 是 0， 则 目标 地 址 的 对 应 位 不 能 为 1。 
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® Gateway 

说 明 下 一 跃 点 的 P 地 址 。 对 于 本 地 连接 的 子 网 ， 网 关 地 址 是 本 地 子 网 中 分 配给 接口 的 中 
地 址 。 对 于 远程 路 由 ， 网 关 地 址 是 相 邻 路 由 器 中 直接 连接 的 卫 地 址 。 

e metric Metric 

说 明 路 由 度量 值 (1 一 9999)。 通 常 选择 度量 值 最 小 的 路 由 。 度 量 值 可 以 根据 跃 点 数 、 链 路 
速率 通路 可 靠 性 、 通 路 的 吞吐 率 以 及 管理 属性 等 参数 确定 。 

e 1flInterface 

说 明 接口 的 索引 。 使 用 route print 命令 可 以 显示 接口 索引 列表 。 接 口 索引 可 以 使 用 十 进 制 
数 或 十 六 进 制 数 表 示 。 如 果 忽略 站 参数 ， 接 口 索 引 根 据 网 关 地 址 确定 。 

路 由 表 中 可 能 出 现 很 大 的 度量 值 ， 这 是 TCP/IP 协议 根据 LAN 接口 配置 的 卫 地址、 子 网 
扒 码 和 默认 网 关 等 参数 自动 计算 的 度量 值 。 自 动 计算 接 
口 度量 值 是 默认 的 , 就 是 根据 接口 的 速率 调整 路 由 度量 ， 
所 以 最 快 的 接口 生成 了 最 低 的 度量 值 。 如 果 要 消除 大 的 
度量 值 ， 则 要 用 “高 级 TCP/IP 设置 ”对 话 框 来 取消 “ 自 
动 跃 点 计数 ” 复 选 框 ， 如 图 11-46 所 示 。 

可 以 用 名 字 表 示 路 由 目标 ， 如 果 在 %Systemroot% 
\System32\Dtivers\Etc\hosts 或 Lmhosts 文件 中 存在 相应 表 
项 ， 也 可 以 用 名 字 表 示 网 关 ， 只 要 这 个 名 字 可 以 通过 标 
准 方法 解析 为 耳 地 址 。 

在 使 用 命令 print 或 delete 时 可 以 忽略 参数 Gateway， 
使 用 通配符 来 代替 目标 和 网 关 。 目标 可 以 用 一 个 星 号 “*” 
来 代替 。 如 果 目 标的 值 中 包含 星 号 “*” 或 问号 “? ”， 二 
也 被 看 作 是 通配符 ， 用 于 匹配 被 打印 或 被 删除 的 目标 路 。 图 1-46 高 级 TCPP 设置 
由 。 事实 上 , 星 号 可 以 匹配 任何 字符 串 , 问号 则 用 于 匹配 任何 单个 字符 。 例 如 ,10.*.1、192.168.* 
和 *224* 都 是 合法 的 通配符 。 

如 果 使 用 了 目标 地 址 与 子 网 掩 码 的 无 效 组 合 ， 则 会 显示 “Route: bad gateway address 
netmask” 的 错误 信息 。 当 目标 地 址 中 的 一 个 或 多 个 位 被 设置 为 “1”， 而 子 网 掩 码 的 对 应 位 却 被 
设置 为 “0” 时 ， 就 会 出 现 这 种 错误 。 为 了 检查 这 种 错误 ， 可 以 把 目标 地 址 和 子 网 掩 码 都 用 二 
进 制 表 示 。 在 子 网 掩 码 的 二 进 制 表示 中 ,开头 有 一 串 “1”， 代 表 网 络 地 址 部 分 ， 后 跟 一 串 “0”， 
代表 主机 地 址 部 分 。 这 样 就 可 以 确定 ， 目 标 地址 中 属于 主机 的 位 是 否 被 设置 成 了 “1”。 

-了 参数 只 能 在 Windows NT 4.0、Windows 2000/2003 和 Windows XP 中 使 用 ，Windows 9x 
不 支持 这 个 参数 。 

举例 如 下 。 
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(1) 如 果 要 显示 整个 路 由 器 的 内 容 ， 则 输入 : 

Toute print 

(2) 如 果 要 显示 路 由 表 中 以 10. 开 头 的 表 项 ， 则 输入 : 

route print 10.* 

(3) 如 果 对 网 关 地 址 192.168.12.1 要 添加 一 条 默认 路 由 ， 则 输入 : 
route add 0.0.0.0 mask 0.0.0.0 192.168.12.1 


(4) 如 果 要 添加 一 条 到 达 目 标 10.41.0.0〈 子 网 掩 码 为 255.255.0.0) 的 路 由 ， 下 一 跃 点 地 址 
为 10.27.0.1， 则 输入 : 














Toute add 10.41.0.0 mask 255.255.0.0 10.27.0.1 


(5) 如 果 要 添加 一 条 到 达 目 标 10.41.0.0 〈 子 网 掩 码 为 255.255.0.0) 的 持久 路 由 ， 下 一 跃 点 
地 址 为 10.27.0.1， 则 输入 : 


route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1 


(6) 如 果 要 添加 一 条 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 下 一 跃 点 地 址 为 10.27.0.1， 度 
量 值 为 7， 则 输入 : 


route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7 


(7) 如 果 要 添加 一 条 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 下 一 跃 点 地 址 为 10.27.0.1, 接 
口 索引 为 0k3， 则 输入 : 


route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 让 0x3 

(8) 如 果 要 删除 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 则 输入 : 
route delete 10.41.0.0 mask 255.255.0.0 

(9) 如 果 要 删除 路 由 表 中 所 有 以 10. 开 头 的 表 项 ， 则 输入 : 

route delete 10.* 


(10) 如 果 要 把 目标 10.41.0.0 255.255.0.0 的 下 一 跃 点 地 址 由 10.27.0.1 改 为 10.27.0.25， 则 
输入 : 


route change 10.41.0.0 mask 255.255.0.0 10.27.0.25 
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11.7.9 netsh 


netsh 是 一 个 命令 行 脚本 实用 程序 ， 可 用 于 修改 计算 机 的 网 络 配 置 。 利 用 netsh 也 可 以 建立 
批文 件 来 运行 一 组 命令 ,或 者 把 当前 的 配置 脚本 用 文本 文件 保存 起 来 ， 以 后 可 用 来 配置 其 他 的 
服务 器 。 


1. netsh 上 下 文 


netsh 利用 动态 链接 库 (DLL) 与 操作 系统 的 其 他 组 件 交 互 作用 。netsh 助手 (helper) 是 一 
种 动态 链接 库 文 件 ， 提 供 了 称 为 上 下 文 〈context) 的 扩展 特性 ， 这 是 一 组 可 作用 于 某 种 网 络 组 
件 的 命令 。netsh 上 下 文 扩大 了 它 的 作用 ， 可 以 对 多 种 服务 、 实 用 程序 或 协议 提供 配置 和 监控 功 
能 。 例 如 ，Dhcpmon.dll 就 是 一 种 netsh 助手 文件 ， 它 提供 了 一 组 配置 和 管理 DHCP 服务 器 的 
命令 。 

运行 netsh 命令 要 从 Cmd.exe 提示 符 开始 ， 然 后 转 到 指定 的 上 下 文 。 可 使 用 的 上 下 文 取决 
于 已 经 安装 的 网 络 组 件 。 例 如 ， 在 netsh 命令 提示 符 (netsh>) 下 输入 dhep， 就 会 转 到 DHCP 
上 下 文 。 但 是 如 果 没 有 安装 DHCP 服务 ， 则 会 出 现下 面 的 信息 : 


The following command was not found: dhcp. 


2. 使 用 多 个 上 下 文 


从 一 个 上 下 文 可 以 转 到 另 一 个 上 下 文 ， 后 者 叫 作 子 上 下 文 。 例 如 ， 在 路 由 上 下 文中 可 以 转 
到 人 P 或 IPX 上下文 。 

为 了 显示 在 某 个 上 下 文中 可 使 用 的 子 上 下 文 和 命令 列表 ， 可 以 在 netsh 提示 符 下 输入 上 下 
文 的 名 字 ， 后 跟 “? ”或 help。 例 如 ， 为 了 显示 在 路 由 上 下 文中 可 使 用 的 子 上 下 文 和 命令 ， 在 
netsh 提示 符 下 输入 : 

netsh>routing ? 

或 者 

netsh>routing help 

为 了 不 改变 当前 上 下 文 而 完成 另外 一 个 上 下 文中 的 任务 ， 可 以 在 netsh 提示 符 下 输入 命令 
的 上 下 文 路 径 。 例 如 ， 要 在 IGMP 上 下 文中 添加 “本 地 连接 ”接口 而 不 改变 到 IGMP 上 下 文 ， 
则 输入 : 


netsh>routing ip igmp add interface "Local Area Connection" startupqueryinterval=21 
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3. 在 cmd.exe 命令 提示 符 下 运行 netsh 命令 


为 了 在 远程 Windows Server 2003 中 运行 netsh 命令 ， 首 先 要 通过 “远程 桌面 连接 ”连接 到 
正在 运行 终端 服务 器 的 Windows Server 2003 系统 中 。 在 cmd.exe 命令 提示 符 下 输入 netsh， 就 
进入 了 netsh> 提示 符 。netsh 的 语法 如 下 : 


netsh [-a AliasFile] [-c Context| [-r RemoteComputer] [{NetshCommandl-f ScriptFile}] 


对 以 上 参数 解释 如 下 : 

e -aAliasFile 

运行 AliasFile 文件 后 返回 netsh 提示 符 。 
® -CContext 


转 到 指定 的 netsh 上 下 文 ， 可 用 的 上 下 文 如 表 11-11 所 示 。 


表 11-11 netsh 上 下文 
灶 - 六 解 释 
配置 认证 ,授权 、 计 费 和 审计 (Authentication, Authorization, Accounting, Auditing, AAAA) 
数据 库 ， 该 数据 库 是 Internet 认证 服务 器 和 路 由 及 远程 访问 服务 器 要 使 用 的 
DHCP 管理 DHCP 服务 器 
Diag 操作 系统 和 网 络 服务 的 管理 及 故障 诊断 
Interface | 配置 TCP/IP 协议 ， 显 示 配 置 和 统计 信息 
RAS 管理 远程 访问 服务 器 
Routing 管理 路 由 服务 器 
WINS 管理 WINS 服务 器 


AAAA 





® -rRemoteComputer 

配置 远程 计算 机 。 

e NetshCommand 

说 明 要 使 用 的 netsh 命令 。 

® -fScriptFile 

运行 脚本 后 转 出 netsh.exe。 

关于 < 参数 的 使 用 值得 用 户 注意 。 如 果 在 -r 参数 中 使 用 了 另外 的 命令 ， 则 netsh 在 远程 计 
算 机 上 执行 这 个 命令 ， 然 后 返回 到 cmd.exe 命令 提示 符 下 。 如 果 使 用 -r 参数 而 没有 使 用 其 他 命 
令 ， 则 netsh 保持 在 远程 模式 。 这 个 过 程 类 似 于 在 netsh 命令 提示 符 下 执行 set machine 命令 。 
在 使 用 -r 参数 时 ， 只 是 在 当前 的 netsh 实例 中 配置 目标 机 器 。 在 转 出 并 重新 进入 netsh 后 ， 目 标 
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机 器 又 变 成 了 本 地 计算 机 。 远 程 计算 机 的 名 字 可 以 是 存储 在 WINS 服务 器 上 的 名 字 、UNC 
(Universal Naming Convention) 名 字 ， 也 可 以 被 DNS 服务 器 解析 的 Internet 名 字 或 者 卫 地 址 。 


4. 在 netsh.exe 提示 符 下 运行 Netsh 命令 


在 netsh> 提 示 符 下 可 以 使 用 下 面 一 些 命令 。 

。 .. : 转移 到 上 一 层 上 下 文 。 

。 abort: 放弃 在 脱 机 模式 下 所 做 的 修改 。 

。 addhelper DLLName: 在 netsh 中 安装 netsh 助手 文件 DLLName。 

。 alias [4liasName]: 显示 指定 的 别名 。 

alias [4liasName][string7 [string2…]]: 设置 AliasName 的 别名 为 指定 的 字符 串 。 

可 以 使 用 别名 命令 行 替换 netsh 命令 ,或 者 将 其 他 平台 中 更 熟悉 的 命令 映射 到 适当 的 netsh 
命令 。 下 面 是 使 用 alias 的 例子 ， 这 个 脚本 设置 了 两 个 别名 shaddr 和 shp， 并 进入 netsh interface 
Pp 上 下 文 ; 


alias shaddr show interface ip addr 
alias shp show helpers 





interface ip 


如 果 在 netsh 命令 提示 符 下 输入 shaddr, 则 被 解释 为 命令 show interface ip addr; 如 果 在 netsh 
命令 提示 符 下 输入 shp， 则 被 解释 为 命令 show helpers。 
。 bye: 转 出 netsh。 
。 ”commit: 向 路 由 器 提交 在 脱 机 模式 下 所 做 的 改变 。 
。 ”delete helper DLLName: 删除 netsh 助手 文件 DLLName。 
。 ”dump [FileName]: 生成 一 个 包含 当前 配置 的 脚本 。 如 果 要 把 脚本 保存 在 文件 中 ， 则 使 
用 参数 FileName。 如 果 不 带 参数 ， 则 显示 当前 配置 脚本 。 
。 ”exec ScriptFile: 装载 并 运行 脚本 文件 ScriptFile。 脚 本 文件 运行 在 一 个 或 多 个 计算 
机 上 。 
eexit: 从 netsh 转 出 。 
。 help: 显示 帮助 信息 ， 可 以 用 2、? 或 h 代替 。 
e。 offline: 设置 为 脱 机 模式 。 
。 online: 设置 为 联机 模式 。 
在 脱 机 模式 下 做 出 的 配置 可 以 保存 起 来 ， 通 过 运行 commit 命令 或 联机 命令 在 路 由 器 上 执 
行 。 从 脱 机 模式 转 到 联机 模式 时 ， 在 脱 机 模式 下 做 出 的 改变 会 反映 到 当前 正在 运行 的 配置 中 ， 
而 在 联机 模式 下 做 出 的 改变 会 立即 反映 到 当前 正在 运行 的 配置 中 。 
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。 popd: 从 堆栈 中 恢复 上 下 文 。 

。 pushd: 把 当前 的 上 下 文保 存在 堆栈 中 。 

popd 与 pushd 配合 使 用 , 可 以 改变 到 新 的 上 下 文 , 运行 新 的 命令 , 然后 恢复 前 面 的 上 下 文 。 
下 面 是 使 用 这 两 个 命令 的 例子 。 这 个 脚本 首先 从 根 脚 本 转 到 interface ip 上 下 文 ， 添 加 一 个 静态 
路 由 ， 然 后 返回 根 上 下 文 。 


netsh> 
pushd 
netsh> 
interface ip 
netsh interface ip> 
set address local static 10.0.0.9 255.0.0.0 10.0.0.1 1 
netsh interface ip> 
popd 
netsh> 
。 quit: 转 出 netsh。 
eset file {open FileNamelappend FileName| close}: 复制 命令 提示 符 窗口 的 输出 到 指定 的 
文件 。 其 中 的 参数 如 下 。 
> open FileName: 打开 文件 FileName， 并 发 送 命令 提示 符 窗口 的 输出 到 这 个 
文件 。 
> ”append FileName: 附加 命令 提示 符 窗口 的 输出 到 指定 的 文件 FileName。 
> ”Close: 停止 发 送 输出 并 关闭 文件 。 
如 果 指 定 的 文件 不 存在 ， 则 netsh 生成 一 个 新 文件 ; 如 果 指 定 的 文件 存在 ， 则 netsh 重 写 文 
件 中 已 有 的 数据 。 下 面 的 命令 生成 一 个 叫 作 session.log 的 记录 文件 ， 并 复制 netsh 的 输入 和 输 
出 到 这 个 文件 : 


set file open c:\session log 


。 set machine [[ComputerName=]string]: 指定 当前 要 完成 配置 任务 的 计算 机 ， 其 中 的 字 
符 串 string 是 远程 计算 机 的 名 字 。 如 果 不 带 参数 ， 则 指 本 地 计算 机 。 

在 一 个 脚本 中 ,可 以 在 多 台 计 算 机 上 执行 命令 。 在 一 个 脚本 中 ， 首先 利 用 set machine 命令 
说 明 一 个 计算 机 ComputerA， 在 这 台 计 算 机 上 运行 随后 的 命令 。 然后 利用 set machine 命令 指定 
另外 一 台 计 算 机 ComputerB， 再 在 这 台 计 算 机 上 运行 命令 。 

。 ”set mode {onlineloffline}: 设置 为 联机 或 脱 机 模式 。 

。 ”show {aliaslhelperlmode}: 显示 别名 、 助 手 或 当前 的 模式 。 

。 ”unalias 4liasName: 删除 指定 的 别名 。 
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11.7.10 nslookup 


nslookup 命令 用 于 显示 DNS 查询 信息 ， 诊 断 和 排除 DNS 故障 。 使 用 这 个 工具 必须 熟悉 
DNS 服务 器 的 工作 原理 (参见 本 书 第 7 章 )。nslookup 有 交互 式 和 非 交互 式 两 种 工作 方式 。 


nslookup 的 语法 如 下 : 
® nslookup [-option ...] # 使 用 默认 服务 器 ， 进 入 交互 方式 
® nslookup [-option ...] -server # 使 用 指定 服务 器 server， 进 入 交互 方式 
enslookup [-option ...] host # 使 用 默认 服务 器 ， 查 询 主机 信息 
。 nslookup [-option .….] host server  ”# 使 用 指定 服务 器 server， 查 询 主机 信息 
。 ?1/7|/help # 显 示 帮 助 信息 
1. 非 交 互 式 工作 


所 谓 非 交互 式 工作 ， 就 是 使 用 一 次 nslookup 命令 后 又 返回 到 cmd.exe 提示 符 下 。 如 果 只 查 
询 一 项 信息 ， 可 以 进入 这 种 工作 方式 。nslookup 命令 后 面 可 以 跟随 一 个 或 多 个 命令 行 选 项 
(option)， 用 于 设置 查询 参数 。 每 个 命令 行 选项 由 一 个 连 字符 “-” 后 跟 选 项 的 名 字 ， 有 时 还 要 
加 一 个 等 号 “=” 和 一 个 数值 。 

在 非 交互 方式 中 ， 第 一 个 参数 是 要 查询 的 计算 机 (host) 的 名 字 或 中 地址， 第 二 个 参数 是 
DNS 服务 器 〈server) 的 名 字 或 瑟 地 址 ， 整 个 命令 行 的 长 度 必须 小 于 256 个 字符 。 如 果 忽 略 了 
第 二 个 参数 ， 则 使 用 默认 的 DNS 服务 器 。 如 果 指 定 的 host 是 中 地址 ， 则 返回 计算 机 的 名 字 ; 
如 果 指定 的 host 是 名 字 ， 并 且 没有 尾随 的 句点 ， 则 默认 的 DNS 域名 被 附加 在 后 面 ( 设 置 了 
defname)， 查 询 结果 给 出 目标 计算 机 的 人 地 址 。 如 果 要 查找 不 在 当前 DNS 域 中 的 计算 机 ， 在 
其 名 字 后 面 要 添加 一 个 句点 “.”( 称 为 尾随 点 )。 下 面 举例 说 明 非 交互 方式 的 用 法 。 

(1) 应 用 默认 的 DNS 服务 器 根据 域名 查找 下 地址。 


Ci:\>nslookup nsl.isiedu 
Server: nsl.domain.com 
Address: 202.30.19.1 


Non-authoritative answer: # 给 出 应 答 的 服务 器 不 是 该 域 的 权威 服务 器 
Name: nsl.isiedu 
Address: 128.9.0.107 # 查 出 的 卫 地址 


(2) 应 用 默认 的 DNS 服务 器 根据 P 地 址 查找 域名 。 


Ci\>nslookup 128.9.0.107 
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Server: ns1.domain.com 
Address: 202.30.19.1 


Name: nsl.isiedu # 查 出 的 耳 地 址 
Address: 128.9.0.107 


(3) nslookup 命令 后 面 可 以 跟随 一 个 或 多 个 命令 行 选 项 (option)。 例 如 ， 要 把 默认 的 查询 
类 型 改 为 主机 信息 ， 把 超时 间隔 改 为 ss， 查询 的 域名 为 nsl.isi.edu， 则 使 用 下 面 的 命令 : 
C:nslookup -type=hinfo -timeout=5 ns]l.isiedu 


Server: nsl.domain.com 
Address: 202.30.19.1 


isiedu # 给 出 了 SOA 记录 
primary name server = isiedu # 主 服务 器 
Tesponsible mail addr = action isi.edu # 邮 件 服务 器 
serial = 2009010800 # 查 询 请 求 的 序列 号 
refresh 。 = 7200 <2 hours> # 出 新 时 间 间 隔 
retry = 1800 <30 mins> # 重 试 时 间 间 隔 
expire = 604800 <7 days> # 辅 助 服务 器 更 新 有 效 期 
default TTL = 86400 <1 days> # 资 源 记录 在 DNS 缓存 中 的 有 效 期 
C:> 
2. 交互 式 工作 


如 果 需 要 查找 多 项 数据 ， 可 以 使 用 nslookup 的 交互 工作 方式 。 在 cmd.exe 提示 符 下 输入 
nslookup 后 按 Enter 键 ， 就 进入 了 交互 工作 方式 ， 命 令 提示 符 变 成 “>”。 

在 命令 提示 符 “>” 下 输入 help 或 ?， 会 显示 可 用 的 命令 列表 〈 如 图 11-47 所 示 ); 如 果 输 
入 exit， 则 返回 cmd.exe 提示 符 。 

在 交互 方式 下 ， 可 以 用 set 命令 设置 选项 ， 满 足 指定 的 查询 需要 。 下 面 举 出 几 个 常用 子 命 
令 的 应 用 实例 。 

(1) >set all: 列 出 当前 设置 的 默认 选项 。 


>set all 
Server: ns1.domain.com 
Address: 202.30.19.1 


Set options: 
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nodebug # 不 打印 排 错 信息 

defname # 对 每 一 个 查询 附加 本 地 域名 

search # 使 用 域名 搜索 列表 

AAR A $1 

MSxfr # 使 用 MS 快速 区 域 传输 

IXFRversion=1 # 当 前 的 IXFR〈 渐 增 式 区 域 传输 ) 版 本 号 
srchlist= # 查 询 搜索 列表 


Commands: (identifiers are shown in uppercase, [] means optional) 
NAME - print info about the host/domain NAME using default server 
NAME1 NAME2 - as above, but use NAME2 as server 
help or ? - print info on common commands 
set OPTION - set an option 
all - print options, current server and host 
[noldebug - print debugging information 
[no]d2 - print exhaustive debugging information 
[noldefname - append domain name to each query 
[nojrecurse - ask for recursive answer to query 
[nojsearch - use domain search list 
[nojvc - always use a Virtual circuit 
domain=NAME - set default domain name to NAME 
srchlist=N1[/N2/.../N6] - set domain to N1 and search list to N1. N2. etc. 
TootFNAME - set root server to NAME 


Tetry=X - set number of retries to X 


timeout=X - set initial time-out interval to X seconds 
type=X - set query type (for example, A, ANY. CNAME. MX. NS. PITR, SOA. SRV) 
querytype=X - same as type 
class=X - set query class (for example. IN (Internet). ANY) 
[nojmsxfr - use MS fast zone transfer 
ixfrver=X - current version to use in IXFR transfer request 
server NAME - set default server to NAME. using current default server 
lserver NAME - set default server to NAME, using initial server 
finger [USER] - finger the optional NAME at the current default host 
Toot - set current default server to the root 
ls [opt] DOMAIN [> FILE] - list addresses in DOMAIN (optional: output to FILE) 
-a - list canonical names and aliases 
-d - list all records 
-t TYPE -list records of the given type (for example, A. CNAME. MX. NS. PTR. and so on) 
view FILE - sort an 'ls' output file and view it with pg 
exit - exit the program 





图 11-47 nslookup 子 命令 
(2) set type=mx: 这 个 命令 查询 本 地 域 的 邮件 交换 器 信息 。 


C: nslookup 


图 5l2 若 。 网 络 工程 所 教程 (第 5 版 ) 


Default Server: ns1.domain.com 


Address: 202.30.19.1 
> set type=mx 
> 163.com.cn 


Server: ns1.domain.com 


Address: 202.30.19.1 


Non-authoritative answer: 


163.com.cn MX preference = 10, mail exchanger =mx1.163.com.cn 


163.com.cn MX preference = 20, mail exchanger =mx2.163.com.cn 
mx1.163.com.cn internet address = 61.145.126.68 
mx2.163.com.cn internet address = 61.145.126.30 


> 


(3) server NAME: 由 当前 默认 服务 器 切换 到 指定 的 名 字 服 务 器 NAME。 类 似 的 命令 lserver 
是 由 本 地 服务 器 切换 到 指定 的 名 字 服 务 器 。 


C: nslookup 


Default Server: nsl.domain.com 


Address: 202.30.19.1 
> server 202.30.19.2 


Default Server: ns2.domain.com 


Address: 202.30.19.2 


(4) ls: 这 个 命令 用 于 区 域 传输 ， 罗 列 出 本 地 区 域 中 的 所 有 主机 信息 。ls 命令 的 语法 如 下 。 

ls [- al-d | -ttype] domain [> filename] 

不 带 参数 使 用 ls 命令 将 显示 指定 域 (domain) 中 所 有 主机 的 人 P 地 址 。-a 参数 返回 正式 名 
称 和 别名 ，-d 参数 返回 所 有 数据 资源 记录 ， 而 -t 参数 将 列 出 指定 类 型 (type) 的 资源 记录 。 任 
选 的 flename 是 存储 显示 信息 的 文件 ， 如 图 11-48 所 示 。 

如 果 安 全 设置 禁止 区 域 传输 ， 将 返回 下 面 的 错误 信息 。 

*** Can't list domain example.com : Server failed 

(5) set type: 该 命令 的 作用 是 设置 查询 的 资源 记录 类 型 。DNS 服务 器 中 主要 的 资源 记录 
有 A 域名 到 人 P 地 址 的 映射 )、PTR (IP 地 址 到 域名 的 映射 )、MX 邮件 服务 器 及 其 优先 级 )、 


CNAM (别名 ) 和 NS ( 





区 域 的 授权 服务 器 ) 等 类 型 。 通 过 A 记录 可 以 由 域名 查 地 址 ， 也 可 以 


由 地 址 查 域 名 。 在 图 11-49 中 , 用 set all 命令 显示 默认 设置 ， 可 以 看 出 type=A+AAAA， 这 时 可 
以 进行 正 向 查询 ， 也 可 以 进行 反 向 查询 ， 如 图 11-50 所 示 。 
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> 1s xidian.edu.cn 
[ns1.xidian.edu.cn] 





xidian.edu.cn NS server = ns1.xidian.edu.cn 
xidian.edu.cn. NS server = ns2.xidian.edu.cn 
08net A 262.117.118 .25 
acc A 282.117.121.5 
ai A 262.117.121.146 
antanna A 219.245.119.146 
apueb2k A 262.117.116.19 
bbs A 262.117.112.11 
cce A 216.27.3.35 
cese A 219.245.118.199 
cnc A 216.27.5.123 
cnis A 292.117.112.16 
WWW.cnis A 292.117.112.16 
con A 292.117.112.6 
cpi A 219.245.78.155 
cs A 202.117.112.23 
csti A 282.117.114.31 
Cuc A 216.27.1.33 
cxjh A 262.117.112.27 
Decss6 A 262.117.112.15 
dingzhg A 202.117.117.8 
djzx A 202.117.121.87 
dp A 219.27.12.227 
dtg A 202.117.114.35 
dttrdc A 219.245.79.48 
ecard A 292.117.112.1939 
ecm A 282.117.116.79 
ecr A 282.117.115.9 
ee A 216.27.6.158. 





图 11-48 ls 命令 的 输出 





> seruer 61.134.1.4 # 设 置 默 认 服 务 器 
默认 服务 器 : 【61.134.1.4] 
Address: 61.134.1.4 


> set all 


默认 服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


设置 选项 : 
nodebug 
defname 
search 
recurse 
nod2 
nouc 
noignoretc 





# 查 询 A 记录 和 AAAA 记 录 
lass=IN 可 以 给 出 IPv4 和 IPv6 地 址 
timeout=2 

retry=1 

root=A.ROOT-SERUERS .NET. 

domain= 

MSxfr 

IXFRuersionz=1 

srchlist= 











11-49 set all 显示 默认 设置 
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> wuw.tsinghua.edu.cn ## 由 域名 查 地 址 


服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


非 权威 应 答 : 
称 : wuW.d.tsinghua.edu.cn 
Addresses: 2991:da8:2699:299::4:199 
211.151.91.165 # 得 到 IPv6 和 IPv4 地 址 
hliases: www.tsinghua.edu.cn 
> 211.151.91.165 # 由 地 址 查 域名 


服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


名 称 : 165.tsinghua.edu.cn # 得 到 域名 
hddress: 211.151.91.165 








图 11-50 查询 A 记录 和 AAAA 记录 


当 查 询 PTR 记录 时 ， 可 以 由 地 址 查 到 域名 ， 但 是 没有 从 域名 查 到 地 址 ， 而 是 给 出 了 SOA 
记录 ， 如 图 11-51 所 示 。 


> set type=ptr # 查 询 PTR 记 录 
> 211.151.91.165 # 由 地 址 查 域名 
服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


非 权 威 应 答 : 
165.91.151.211.in-addr .arpa name = 165.tsinghua.edu.cn 。 # 查 询 成 功 ， 得 到 域名 


> wuw.tsinghua.edu.cn ## 由 域名 查 地 址 
服务 器 : 【61.134.1.4] 
Address: 61.134.1.4 


DNS request timed out. 
timeout was 2 seconds. 


非 权威 应 答 : _ 

wu,tsinghua.edu.cn canonical name = WWW.d.tsinghua.edu.cn 

d.tsinghua.edu.cn 
primary name server = dns.d.tsinghua.edu.cn # 没 有 查 出 地 址 
responsible mail addr = szhu.dns.edu.cn 但 给 出 了 SOA 记 录 
serial 2997942815 


refresh = 3600 (1 hour) 
retry =: 1860 (39 mins) 
expire = 6048060 (7 days) 
default TTL : 86460 (1 day) 








图 11-51 查询 PTR 记录 





新 查询 A 记录 ， 可 以 进行 双向 查询 ， 如 图 11-52 所 示 。 
(6) set type=any: 对 查询 的 域名 显示 各 种 可 用 的 信息 资源 记录 (A、CNAME、MX、NS、 
PTR、SOA 和 SRV 等 )， 如 图 11-53 所 示 。 
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# 查 询 A 记录 





> set typeza 











> wu. tsinghua.edu. en # 耻 域名 查 地 直 set typesany 
服务 器 : 【61.134.1.4] > baidu .com 
dd 61.134.1 


服务 器 : [218.38.19.49] 
ddress: 218.36.19.49 








und. teinghua.edu. en 
ha eu -en “作用 的 LE 权威 应 答 : 。 ， 
aidu. con internet addrese = 202.108.23.59 
A 4 由 地 址 查 城 名 aidu- internet address = 220.181.5.97 
3 aidu nameseruer = dns.baidu.com 
aidu naneserver = nsz.baidu .com 
165. tsinghua.edu.cn 。 /在 济 成 功 ， 得 到 威名 aidu nameseruer : ns3.baidu com 
人 aidu. naneserver = ns4.baidu .com 
a aidu. MX preference = 10, mail exchanger = mx1.baidu.com 
> 








图 11-52 查询 A 记录 图 11-53 各 种 信息 资源 记录 
(7) set degug: 这 个 命令 与 set d2 的 作用 类 似 ， 都 是 显示 查询 过 程 的 详细 信息 ，set d2 显示 
的 信息 更 多 ， 有 查询 请 求 报 文 的 内 容 和 应 答 报 文 的 内 容 。 图 11-54 是 利用 set d2 显示 的 查询 过 
程 。 这 些 信息 可 用 于 对 DNS 服务 器 进行 排 错 。 








> 90t d2 


> 163.com cn 
服务 器 Unknown 
Raddress: 218.38.19.99 





SendRequest(] ，len 28 
NERDER 
+ QUERY, id *。 2，rcode 。 NOERROR 


flags: “query, want recursion 
ions * 1, ansuere * 0, authority records * 9, sdditional = © 





QUESTIONS: 
163.com.cn, type + A, clase = IN 





Got anawer (44 bytes) 
HEADER 


‘opcode : OUERY, id * 2, reode : NOERROR 
header flags: ‘responce, vant recursion，recureion auail 
questions + 1, answere * 1, authority recorde + 9， additional 。 © 


QUESTIONS: 
163.com.cn, type + A, clase = IN 





IN, dlen = 
internet addreos = 219.137.167.157 
tt1 = 86400 (1 day) 





SendRequect() ，len 28 
HERDER 
opcode = QUERY，id = 3, reode = NOERROR 


header flags: query, vant recursion 
questions = 1, ansuers : 8, authority records : 0, additional : © 


QUESTIONS: 
163.com.cn. type : AAAA, class = IN 








Got anever (28 bytes) 
HEADER 





‘opcode : QUERY，id = 3, reode = NOERROR 
header flags: response, vant recureion, recursion auail 
questions ansuers : 6， authority records additional : © 





(OUESTIONS: 
163.com.cn. type = AAAN, class = IN 





163.com.cn 
Rddress: 219.137_167_157 


> 





图 11-54 显示 查询 过 程 
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M7 -net 


Windows 中 的 网 络 服务 都 使 用 以 net 开头 的 命令 。 在 cmd.exe 提示 符 下 输入 net /?， 则 显示 
net 命令 的 列表 如 下 : 


NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP | 
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION | 
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ] 


如 果 要 查看 某 个 net 命令 的 使 用 方法 ， 则 输入 net help“ 命 令 名 ”。 例 如 为 了 显示 accounts 
命令 的 用 法 ， 输 入 cx\ >net help accounts， 结 果 如 图 11-55 所 示 。 


:\Docunents and Settings\Adninistratornet help accounts 


命令 的 语法 是 


ACCOUNTS 
[AFORCELOGOFF: Cminutes ! NO>] [/MINPWLEN:length] 
[/MAXPYAGE: Cdays ! UNLIMITED》] [/MINPWAGE:days] 
[/UNIQUEPW:nunber] [/DOMAIN] 


ET ACCOUNTS 命令 的 帐户 数 所 有 帐户 修改 窗 辜 
二 i ea NET ACCOUNTS 会 
登录 限制 ， 以 及 域 信息 的 当前 
的 后 NET ACCOUNTS 本 Oe 
i 的 柳生 吕 且 时 (使用 “用 户 管理 器 ”或 NET USER 命令 ;， 密 码 和 
人 NET Logon 服务 。 当 Windows 启动 时 ， 
Net Logon 会 自动 启动 。 
的 分 钟 数 。 这 
和 
INPWLEN: length 


XPUAGE:Cdays 1 UNLIMITED》 设置 


INPWAGE: days 


MAXPWAGE 先 
NIQUEPV:nunber RE 


DOMAIN 和 入 和 市委 上 执 和 操作 ， 否则 在 本 地 计算 


HELP connand ! MORE 还 屏 显示 帮助 。 








图 11-55 ”net 帮助 命令 


下 面 举 出 几 个 常用 的 net 命令 的 例子 。 
ec:vnetuser: 显示 所 有 用 户 的 列表 。 
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。 ”ci\>net share: 显示 共享 资源 。 

e ”ci\>net start: 显示 已 启动 的 服务 列表 。 

。 ”ci\>net start telnet: 启动 telnet 服务 。 

。 “ci\>net stop telnet: 停止 telnet 服务 。 

e cnetuse: 显示 已 建立 的 网 络 连接 。 

。 cnet view: 显示 计算 机 上 的 共享 资源 列表 。 

。 cnet send: 192.168.10.1“ 时 间 到 了 ， 请 关机 ”向 地 址 为 192.168.10.1 的 计算 机 发 送 
消息 。 


11.8 ”网络 监视 和 管理 工具 


用 于 采集 网 络 数据 流 并 提供 数据 分 析 能 力 的 工具 称 为 网 络 监 视 器 。 监 视 网 络 的 目的 是 对 数 
据 流 进行 分 析 , 发 现 网 络 通信 中 的 问题 。 网 络 监视 器 能 提供 利用 率 和 数据 流量 方面 的 统计 数据 ， 
还 能 从 网 络 通信 流 中 捕获 数据 帧 ， 并 筛选 、 解 释 、 分 析 这 些 数据 帧 的 内 容 ， 判 断 其 来 源 和 去 向 。 
目前 大 多 数 网 络 都 是 基于 以 太 网 构建 的 ， 广 播 通信 方式 决定 了 在 一 台 计 算 机 上 可 以 采集 到 子 网 
内 的 全 部 通信 流 ， 因 此 网 络 监视 器 的 有 效 范围 遍及 路 由 器 以 内 的 全 部 通信 主机 。 

目前 最 常用 的 网 络 监视 工具 有 Sniffer、NetXray 和 Ethereal 等 ， 其 中 Sniffer 的 功能 最 强 ， 
使 用 最 为 普遍 。 下 面 介绍 Sniffer 的 功能 和 使 用 方法 。 


11.8.1 网 络 监听 原理 


由 于 以 太 网 采用 广播 通信 方式 ,所 以 在 网 络 中 传送 的 分 组 可 以 出 现在 同一 冲突 域 中 的 所 有 
端口 上 。 在 常规 状态 下 ， 网 卡 控制 程序 只 接收 发 送 给 自己 的 数据 包 和 广播 包 ， 对 目标 地 址 不 是 
自己 的 数据 包 则 丢弃 。 如 果 把 网 卡 配置 成 混杂 模式 (Promiscuous Mode), 它 就 能 接收 所 有 分 组 ， 
无 论 是 不 是 发 送 给 自己 的 。 

采用 混杂 模式 的 程序 可 以 把 网 络 连 接 上 传输 的 所 有 分 组 都 显示 在 屏幕 上 。 有 些 协议 例如 
FTP 和 Telnet) 在 传输 数据 和 口令 字 时 不 进行 加 密 ， 采 用 混杂 模式 的 网 络 扫描 器 就 可 以 解读 和 
提取 有 用 的 信息 ， 这 给 网 络 黑客 造成 了 可 乘 之 机 。 利 用 网 络 监听 技术 ， 既 可 以 进行 网 络 监控 ， 
解决 网 络 管理 中 的 问题 ， 也 可 以 进行 网 络 窍 听 ， 实 现 网 络 入 侵 的 目的 。 

当 一 个 主机 采用 混杂 模式 进行 网 络 监听 时 , 它 是 可 以 被 检查 出 来 的 。 这 里 主要 有 两 种 方法 : 
一 种 是 根据 时 延 来 判断 。 由 于 采用 混杂 模式 的 主机 要 处 理 大 量 的 分 组 , 所 以 它 的 负载 必定 很 重 ， 
如 果 发 现 某 个 计算 机 的 响应 很 慢 ， 就 可 以 怀疑 它 是 工作 于 混杂 模式 。 另 外 一 种 方法 是 使 用 错误 
的 MAC 地 址 和 正确 的 地 址 向 它 发 送 ping 数据 包 , 如 果 它 接收 并 应 答 了 这 个 数据 包 , 那 一 定 
是 采用 混杂 模式 进行 通信 的 。 
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混杂 模式 通信 被 广泛 地 使 用 在 恶意 软件 中 ， 最 初 是 为 了 获取 根 用 户 权限 〈Root 
Compromise)， 继 而 进行 ARP 欺骗 (ARP Spoofing)。 凡 是 进行 ARP 欺骗 的 计算 机 必定 把 网 卡 
设置 成 了 混杂 模式 ， 所 以 检测 那些 滥用 混杂 模式 的 计算 机 是 很 重要 的 。 


11.8.2 ”网 络 嗅 探 器 


嗅 探 器 〈Sniffer) 就 是 采用 混杂 模式 工作 的 协议 分 析 器 ， 可 以 用 纯 软 件 实 现 ， 运 行 在 普通 
的 计算 机 上 ; 也 可 以 做 成 硬件 ， 用 独立 设备 实现 高 效率 的 网 络 监 控 。Sniffer Network Analyzer 
是 美国 网 络 联盟 公司 (Network Associates INC， 
NAI) 的 注册 商标 ， 然 而 许多 采用 类 似 技 术 的 网 络 


Select Settings | 


协议 分 析 产 品 也 可 以 叫 作 嗅 探 器 。NAI 是 电子 商务 Select settings for nonitoring; 


ET 








和 网 络 安全 解决 方案 的 主要 供应 商 ， 它 的 产品 除了 

Sniffer Pro 之 外 ， 还 有 著名 的 防毒 软件 McAfee。 
常用 的 Sniffer Pro 网 络 分 析 器 可 以 运行 在 各 种 加 

Windows 平台 上 。Sniffer 软件 安装 完成 后 在 文件 菜 | sweet ne Jebernet e023 

单 中 选择 Select Settings， 就 会 出 现 如 图 11-56 所 示 

的 界面 ， 在 这 里 可 以 选择 用 于 监控 的 网 卡 ， 将 其 置 

于 混杂 模式 。 图 11-56 ”设置 网 卡 


11.8.3 ”Sniffer 软件 的 功能 和 使 用 方法 


Sniffer Pro 主要 包含 4 种 功能 组 件 。 

(1) 监视 。 实 时 解码 并 显示 网 络 通信 流 中 的 数据 。 

(2) 捕获 。 抓 取 网 络 中 传输 的 数据 包 并 保存 在 缓冲 区 或 指定 的 文件 中 ， 供 以 后 使 用 。 

(3) 分 析 。 利 用 专家 系统 分 析 网 络 通信 中 潜在 的 问题 ， 给 出 故障 症状 和 诊断 报告 。 

(4) 显示 。 对 捕获 的 数据 包 进行 解码 ， 并 以 统计 表 或 各 种 图 形 方式 显示 在 桌面 上 。 

网 络 监控 是 Sniffer 的 主要 功能 ,其 他 功能 都 是 为 监控 功能 服务 的 。 网 络 监控 可 以 提供 下 列 
信息 。 

(1) 负载 统计 数据 ， 包 括 一 段 时 间 内 传输 的 帧 数 、 字 节 数 、 网 络 利用 率 、 广 播 和 组 播 分 组 
计数 等 。 

(2) 出 错 统计 数据 ， 包 括 CRC 错误 、 冲 突 碎片 、 超 长 帧 、 对 准 出 错 和 冲突 计数 等 。 

(3) 按照 不 同 的 底层 协议 进行 统计 的 数据 。 

(4) 应 用 程序 的 响应 时 间 和 有 关 统 计数 据 。 

(5) 单个 工作 站 或 会 话 组 通信 量 的 统计 数据 。 

(6) 不 同 大 小 数据 包 的 统计 数据 。 
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图 11-57 所 示 是 Sniffer 的 系统 界面 ， 并 且 给 出 了 监视 菜单 (Monitor) 及 其 工具 栏 的 解释 。 
当 Sniffer 工作 时 ， 单 击 “ 主 控 板 ”按钮 ， 可 以 显示 网 络 利 用 率 、 数 据 包 数 / 秒 和 错误 数 / 秒 3 个 
计量 表 。 这 个 窗口 下 面 有 以 下 3 个 选项 (如 图 11-58 所 示 )。 




















d at 100 Wbps) 


a 
sr all | [as 本 
号 | 避 | 号 | 本 | 会 | 略 | 划 | 要 | 六 | 人 | 区 | 之 | 所 | 全 | 

ET rc ro) 
主 担 板 下) 





























WO 历史 采样 物理 层 状态 
请 二。 主 控 板 全 局 统计 数据 | 介质 选项 
历史 采样 0 | 
荔 议 分 机 | | 
rr ©|tdl RN 
c ee WW 
2 智能 屏幕 
定义 他 向) 
沈 操 者 册 忆 ) 
二 应 用 程序 响应 时 间 

主 工具 栏 ATM 工具 栏 


图 11-57 Sniffer 主 菜单 


Dashboard 

















图 11-58 ”Sniffer 主 控 板 


。 ”Network: 显示 网 络 利 用 率 等 统计 信息 。 

。 ”Detail Erors: 显示 出 错 统计 信息 。 

。 Size Distribution: 显示 各 种 不 同 大 小 分 组 数 的 统计 信息 。 

单 击 “主机 表 ” 按 钮 ， 可 以 显示 通信 最 多 的 前 10 个 主机 的 统计 数据 ， 如 图 11-59 所 示 。 单 
击 “ 和 矩阵 ”按钮 ， 可 以 显示 主机 之 间 进 行 会 话 的 情况 ， 如 图 11-60 所 示 。 其 他 按钮 的 使 用 是 类 
似 的 ， 由 于 GUI 界面 直观 易 用 ， 读 者 可 以 利用 帮助 信息 熟悉 Sniffer 的 使 用 方法 。 




















co 上 


co 
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图 11-59 主机 表 


亚 | 避 |@@| 肥 | 之 | 多 | 


FstntBFA672 


™ 


000C6EC47A39 


00156256E30A 


0019DBA28995 





图 11-60 和 矩阵 显示 


11.8.4 HP OpenView 








多 个 功能 套件 组 成 ， 形 成 了 








HP OpenView 
统 。HP OpenView 包 





括 以 下 套件 。 
- 体 化 的 网 络 和 系统 管理 平台 


个 集 网 络 管理 和 系统 管理 为 


蔷 


加 10010017.42 
园 20811114853 
固 20811117352 
四 20811114830 
加 22291144140 
轩 10010017255 


四 1241153233 





加 10010017139 





000FE22931C1 
> Broadcast 


Bridoe group 


体 的 完整 系 


能 支持 数 百 个 受 控 节 点 和 数 








e HPOpenView Operations: 台 ， 
和 个 事件 。 

。 ”HP OpenView Reporter: 报告 管理 软件 ， 为 分 布 式 IT 环境 提供 灵活 易 用 的 报告 管理 解 
决 方案 ,通过 Web 浏览 器 可 以 发 布 和 访问 各 种 管理 报告 。 

。 ”HP OpenView Performance: 端 到 端的 资源 理 软件 ， 能 收集 、 统 计 和 记录 来 自 


应 用 、 数 据 库 、 网 络 和 操作 系统 的 资源 及 性 能 测量 数据 。 
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。 HP OpenView GlancePlus: 实时 诊断 和 监控 软件 ， 可 以 显示 系统 级 、 应 用 级 和 进程 级 
的 性 能 视图 ， 诊 断 和 识别 系统 运行 中 的 问题 和 性 能 瓶颈 。 

。 HP OpenView GlancePlus Pak 2000: 全 面 管理 系统 可 用 性 的 综合 性 产品 。 在 GlancePlus 
了 Pak 的 基础 上 增加 了 单一 系统 事件 与 可 用 性 管理 ， 可 监控 系统 中 的 关键 事件 ， 使 系统 
处 于 最 佳 性 能 状态 。 

。 HP OpenView Database Pak 2000: 服务 器 与 数据 库 的 性 能 管理 软件 。 它 提供 强大 的 系 
统 性 能 诊断 功能 , 可 以 检测 关键 事件 并 采取 修复 措施 , 可 提供 200 多 种 测量 数据 和 300 
多 种 日 志文 件 。 

以 上 模块 既 相 对 独立 ， 又 可 集成 在 一 起 ， 为 企业 提供 高 可 用 性 的 系统 管理 解决 方案 。 

HP OpenView 最 初 是 为 网 络 管理 设计 的 ， 其 基础 产品 是 网 络 节点 管理 器 (Network Node 
Manager, NNM)。NNM 作为 网 络 和 系统 管理 的 基础 平台 , 可 以 与 第 三 方 管理 应 用 集成 在 一 起 ， 
形成 强大 的 综合 的 网 络 管理 环境 。HP OpenView NNM 的 主要 功能 特点 介绍 如 下 。 

(1) 自动 发 现 网 络 的 拓扑 结构 ， 全 面 管 理 网 络 中 的 各 种 设备 。NNM 能 够 自动 发 现 网 络 节 
点 ， 监 测 网 络 连接 ， 生 成 和 记录 TCP/IP 网 络 视图 ， 通 过 不 同色 彩 表示 网 络 设备 的 运行 状态 ， 
发 现 和 监控 功能 还 可 以 探测 广域网 上 的 设备 。 通 过 SNMP Data Presenter， 用 户 可 以 查询 网 络 的 
SNMP 信息 。 

(2) 具有 管理 大 型 、 多 节点 网 络 的 能 力 ， 可 以 适应 多 厂商 设备 、 多 操作 系统 的 异 构 型 环境 。 
NNM 可 以 管理 多 达 1000 个 以 上 的 节点 ， 能 够 适应 地 理 上 分 布 的 网 络 环境 。HP OpenView 是 一 
种 支持 多 厂商 应 用 软件 的 管理 平台 ， 可 以 支持 21 种 操作 系统 中 的 智能 代理 ， 包 括 Windows、 
NetWare 和 不 同 厂商 的 各 种 UNIX 等 。 

(3) 网 络 管理 采用 易于 操作 的 图 形 界面 。HP OpenView 采用 图 形 用 户 界 面 ， 管 理 人 员 可 以 
通过 熟悉 的 单 击 、 拖 动 、 菜 单 选项 等 技术 实现 网 络 管理 操作 。 使 用 OpenView Windows 的 窗 格 
和 缩放 功能 ， 在 保持 全 网 总 图 像 的 同时 ， 可 以 将 视点 聚焦 于 重点 子 图 的 关键 区 域 。 

(4) 与 系统 管理 有 机 地 集成 在 一 起 。HP OpenView 的 网 络 管理 产品 可 以 紧密 地 结合 到 企业 
整体 的 资源 与 系统 管理 平台 中 , 例如 HP OpenView Operation 中 就 内 柑 了 NNM 模块 。 其 他 的 网 
络 管理 模块 都 可 以 在 HP OpenView Operation 的 操作 平台 上 执行 操作 和 显示 数据 。 

(5) 对 搜集 到 的 信息 可 以 进行 有 针对 性 地 选择 。NNM 对 于 所 搜集 到 的 信息 具有 简化 功能 ， 
可 提供 发 现 过 滤 和 拓扑 过 滤 、 图 像 过 滤 3 种 过 滤 方 式 ， 使 管理 人 员 可 以 根据 需要 选择 要 监控 的 
对 象 ， 定 制 视图 显示 的 内 容 和 管理 节点 之 间 传 输 的 信息 。 

(6) 网 络 管理 信息 传输 不 会 过 多 地 占用 网 络 资源 。NNM 一 方面 可 以 对 网 络 中 的 信息 进行 
过 滤 , 另 一 方面 可 以 在 本 地 进行 网 络 故障 的 处 理 , 只 把 故障 事件 和 处 理 结果 上 报 给 上 层 控制 台 ， 
从 而 减少 了 网 络 管理 信息 传输 的 通信 流量 。 

(7) 分 布 式 的 体系 结构 和 远程 管理 操作 。HP OpenView 的 分 布 式 解 决 方案 便于 协调 管理 人 
员 的 管辖 范围 ， 实 现 分 层次 的 网 络 管理 模式 。NNM 能 够 通过 Web 界面 访问 网 络 拓扑 和 网 管 数 























国医 


网 络 工程 师 教程 (第 5 版 ) 


据 , 在 万 维 网 的 任何 地 点 都 可 以 进行 远程 管理 操作 。 采 用 HP OpenView Web Launcher 还 可 以 在 
任何 地 点 启动 基于 Java 的 HP OpenView 应 用 ， 带 有 密码 校 验 的 登录 过 程 确保 了 管理 的 安全 性 。 

(8) 故障 的 发 现 、 显 示 与 排除 。NNM 能 自动 对 网 络 进行 监测 ， 搜 集 网 络 中 的 故障 和 报警 
信息 。NNM 采用 事件 关联 技术 ， 使 得 网 管 人 员 能 够 快速 定位 和 排除 故障 。 通 过 高 级 事件 关联 
引擎 把 事件 与 高 层次 报警 关联 起 来 ， 可 以 立即 发 现 网 络 故障 的 根本 原因 。 

(9) 与 其 他 网 管 工具 的 集成 。HP OpenView 提供 了 SNMP 管理 信息 库 的 标准 管理 功能 ， 用 
户 还 可 以 对 MIB 数据 库 进行 扩展 。HP OpenView 提供 了 标准 的 开发 工具 , 用 于 开发 可 集成 到 管 
理 平 台 上 的 应 用 软件 。HP OpenView 已 经 被 众多 厂商 作为 其 网 络 设备 管理 的 平台 软件 。 

(10) 功能 强大 、 简 单 易 用 的 二 次 开发 能 力 。HP OpenView 提供 的 各 种 应 用 开发 包 采 用 图 
形 用 户 界面 ,无 须 具备 特殊 开发 技巧 就 可 以 开发 网 管 应 用 程序 。HP OpenView 提供 了 基于 C 语 
言 的 API， 具 有 功能 强大 的 可 供 调用 的 管理 函数 和 公共 服务 ， 支 持 第 三 方 合作 伙伴 开发 多 平台 
的 、 可 扩展 的 分 布 式 网 络 管理 应 用 软件 。 


11.8.5 IBM Tivoli NetView 


Tivoli NetView 是 IBM 公司 的 网 络 管理 工具 ， 能 够 提供 整个 网 络 环境 的 完整 视图 ， 实 现 对 
网 络 产品 的 管理 。 它 采用 SNMP 协议 对 网 络 上 的 设备 进行 实时 监控 , 对 网 络 中 发 生 的 故障 进行 
报警 ， 从 而 减少 了 系统 管理 的 难度 和 管理 工作 量 。 

IBM Tivoli NetView 网 络 管理 解决 方案 可 以 实现 的 功能 主要 如 下 。 

(1) 网 络 拓扑 管理 。NetView 能 够 自动 发 现 联 网 的 下 节点， 包括 路 由 器 、 交 换 机 、 服 务 器 
和 PC 等 ， 并 自动 生成 拓扑 连接 。NetView 还 可 以 按照 地 理 位 置 对 网 络 拓扑 图 形 进行 定制 ， 使 
之 与 实际 的 网 络 结构 更 加 吻合 。 图 11-61 是 Tivoli 网 络 管理 拓扑 显示 界面 。 


IPMap - Segment:192.168.101.5egmentl -lolxi| 








11-61 Tivoli 网 络 管理 拓扑 显示 界面 
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NetView 提供 的 SmartSet 功能 可 以 将 具有 相同 属性 的 管理 对 象 组 成 一 个 集合 ， 例 如 用 户 可 
以 把 重要 的 路 由 器 放 在 一 起 作为 一 个 集合 ， 进 行 统一 的 管理 设置 。SmartSet 甚至 不 需要 手工 加 
入 对 象 ， 管 理 员 只 需 设置 加 入 集合 的 条 件 ，SmartSet 就 能 够 动态 地 发 现 符合 条 件 的 设备 并 自动 
加 入 集合 视图 ， 从 而 为 管理 员 提供 了 很 大 的 便利 。 

(2) 网 络 故障 管理 。 网 络 故 障 管理 是 网 络 管理 的 核心 。NetView 的 图 形 化 网 络 拓扑 结构 可 
以 迅速 发 现 出 现 故障 的 资源 ， 并 帮助 管理 员 分 析 故 障 原因 。 当 网 络 中 的 设备 出 现 故 障 、 死 机 
或 链 路 中 断 时 ，NetView 会 及 时 在 屏幕 上 显示 报警 信 号 ， 便 于 网 络 管理 人 员 进 行 诊断 ， 并 排除 
故障 。 

(3) 网 络 性 能 管理 。NetView 的 SnmpCollect 功能 可 以 自动 采集 重要 的 网 络 性 能 数据 ， 例 
如 正 流量 、 带 宽 利用 率 、 出 错 包 数量 、 丢 弃 包 数量 和 SNMP 流量 等 。 通 过 设置 各 种 参数 的 阅 
值 ，NetView 能 够 自动 发 出 报警 信号 ， 或 自动 运行 已 定义 的 管理 操作 。NetView 可 以 用 图 形 的 
方式 显示 网 络 性 能 数据 的 变化 情况 ， 或 者 将 管理 数据 存放 在 关系 数据 库 中 ， 以 便于 以 后 进行 检 
索 和 分 析 。 图 11-62 所 示 为 网 络 性 能 分 析 视 图 。 











图 11-62 ”网络 性 能 分 析 监 控 显示 


Tivoli 数据 仓库 为 网 络 性 能 管理 提供 集中 的 历史 统计 和 报表 分 析 ， 能 够 帮助 管理 人 员 从 大 
量 数据 中 及 时 发 掘 出 可 用 于 判断 网 络 运行 状态 的 数据 ， 能 够 生成 各 种 报表 和 图 形 化 的 分 析 
报告 。 

(4) 网 络 设备 管理 。Tivoli NetView 是 使 用 最 广泛 的 网 络 管理 平台 之 一 ， 支 持 业 界 标准 
API， 能 够 与 主要 网 络 设备 厂商 的 设备 管理 软件 (如 Cisco Works、Nortel Optivity 和 3com 


国 4 项 


网 络 工程 师 教 程 〈 第 5 版? 


Transcend 等 ) 方便 地 进行 集成 。 

(5) 管理 权限 分 配 。NetView 可 以 为 管理 员 定义 不 同 的 管理 角色 ， 不 同 的 管理 角色 可 以 被 
授权 管理 不 同 地 域 范围 的 设备 ， 没 有 权限 管理 的 设备 不 会 出 现在 网 络 拓扑 视图 中 。 

(6) Web 管理 功能 。NetView 通过 Web 控制 台 实现 了 分 布 式 的 网 络 管理 。NetView Web 
控制 台 为 用 户 提 供 了 一 个 灵活 、 可 配置 的 环境 ， 便 于 用 户 远程 访问 网 络 设备 、 浏 览 交换 机 的 端 
、 检 查 路 由 器 的 工作 状态 、 查 看 MAC 地 址 等 。 

(7) 支持 MPLS 管理 功能 。NetView 7.1 支持 对 多 协议 标记 交换 设备 的 识别 ， 并 能 对 有 关 
MPLS 的 数据 进行 查询 ， 可 以 管理 LSR 设备 。 

(8) 交换 机 的 故障 定位 。IBM Tivoli Switch Analyzer 提供 了 第 二 层 交 换 设备 的 发 现 功 能 ， 
能 够 识别 包括 第 二 层 和 第 三 层 交换 设备 在 内 的 各 种 设备 之 间 的 关系 。 正 确 地 关联 分 析 可 以 区 分 
不 同 的 设备 ， 无 论 是 他 寻 址 的 端口 ， 还 是 第 二 层 交 换 机 上 非 他 寻 址 的 端口 、 板 卡 或 插件 。 


11.8.6 CiscoWorks for Windows 









































CiscoWorks for Windows 是 基于 Web 的 网 络 管理 解决 方案 ， 主 要 应 用 于 中 小 型 企业 网 络 ， 
提供 了 一 套 功能 强大 、 价 格 低廉 且 易于 使 用 的 监控 和 配置 工具 ， 用 于 管理 Cisco 的 交换 机 、 路 
由 器 、 集 线 器 、 防 火 增 和 访问 服务 器 等 设备 。 使 用 Ipswitch 公司 的 WhatsUp Gold 工具 ， 还 可 
管理 网 络 打印 机 、 工 作 站 、 服 务 器 和 其 他 网 络 设 备 。CiscoWorks for Windows 中 包含 下 列 组 件 。 

(1) CiscoView。CiscoView 可 以 提供 设备 前 、 后 面板 的 视图 ， 能 够 以 不 同 颜色 动态 地 显示 
设备 状态 ， 并 提供 对 特定 设备 组 件 的 诊断 和 配置 功能 。CiscoView 启动 后 可 以 从 设备 列表 中 选 
择 要 监视 的 设备 。 如 果 要 监视 的 设备 不 在 设备 列表 中 ,， 则 直接 输入 设备 他 地 址 。 选 择 了 一 个 设 
备 之 后 ， 将 出 现 有 关 该 设备 信息 的 界面 ， 如 图 11-63 所 示 。 
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图 11-63 ”Cisco View 界面 
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(2) WhatsUp Gold。WhatsUp Gold 是 一 种 基于 SNMP 的 图 形 化 网 络 管理 工具 ， 可 以 通过 
自动 或 手工 创建 网 络 拓扑 结构 图 管理 整个 企业 网 络 ， 支 持 监视 多 个 设备 ， 具 有 网 络 搜索 、 拓 扑 
发 现 、 性 能 监测 和 和 警报 追踪 等 功能 。WhatsUp Gold 的 界面 如 图 11-64 所 示 。 





图 11-64 WhatsUp Gold 用 户 界面 


(3) 门限 管理 。 门 限 管理 器 (Threshold Manager) 能 够 在 支持 RMON 的 Cisco 设备 上 设置 
门限 值 并 提取 事件 信息 ， 以 增强 排除 网 络 故障 的 能 力 。 在 使 用 Threshold Manager 之 前 ， 必 须 建 
立 门 限 模板 。Cisco 公司 提供 了 一 些 预 定义 的 模板 ， 用 户 也 可 以 定义 自己 的 模板 。Threshold 
Manager 管理 界面 如 图 11-65 所 示 。 




























































































图 11-65 ”Threshold Manager 管理 界面 
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在 图 11-65 中 ，Event Log 窗口 以 表格 的 方式 显示 越界 事件 信息 ， 并 把 RMON 日 志 记 录 保 
存在 被 管理 设备 上 ; Device Thresholds 窗口 用 来 设置 和 显示 闵 值 ，Templates 窗口 用 来 显示 所 有 
默认 的 或 用 户 定制 的 模板 , 也 可 以 建立 新 的 模板 ;Trap Receivers 窗口 可 以 添加 或 删除 接收 陷入 
事件 的 管理 站 点 ;Preferences 窗口 则 用 来 设置 Threshold Manager 的 属性 。 

(4) Show Commands。Show Commands 使 得 用 户 不 必 记 住 各 个 设备 的 命令 行 语法 ， 使 用 
Web 浏览 器 进行 简单 操作 就 可 以 获取 设备 的 系统 信息 和 协议 信息 。Show Commands 在 Web 页 
面 的 左边 以 树 型 结构 显示 了 设备 所 支持 的 命令 列表 ， 如 图 11-66 所 示 。 当 用 户 选择 了 一 个 命令 
后 ，Show Commands 将 执行 所 选择 的 命令 ， 并 显示 命令 行 的 输出 信息 。 
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图 11-66 Show Commands 操作 界面 


11.9 网 络 存储 技术 
11.9.1 廉价 磁盘 元 余 阵列 


廉价 磁盘 元 余 阵列 Redundant Arrays of Inexpensive Disk，RAID) 是 美国 加 利 福 尼 亚 大 学 
伯 克 莱 分 校 在 1987 年 提出 的 ， 它 是 利用 一 台 磁 盘 阵 列 控制 器 管理 一 组 ( 几 台 到 几 十 台 〉 磁盘 
驱动 器 ， 组 成 一 个 可 靠 的 、 快 速 的 大 容量 磁盘 系统 。 

宛 余 磁盘 阵列 技术 最 初 的 研制 目的 是 为 了 组 合 小 型 的 廉价 磁盘 来 代替 大 容量 的 昂贵 磁盘 ， 
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以 降低 大 批量 数据 存储 的 费用 ， 同 时 也 希望 采用 元 余 技术 提高 磁盘 数据 的 可 靠 性 ， 并 能 适当 提 
升 数据 传输 的 速率 。RAID 有 时 也 被 称 为 独立 磁盘 元 余 阵 列 (Redundant Array of Independent 
Disk)， 以 强调 其 可 作为 一 台 虚 拟 的 大 容量 硬盘 使 用 的 特点 。 

RAID 的 重要 特性 是 所 谓 的 EDAP (Extended Data Availability and Protection) 概念 ， 强 调 
了 这 种 系统 的 可 扩充 性 和 容错 机 制 。RAID 在 不 停机 的 情况 下 可 支持 以 下 功能 。 

(1) 自动 检测 硬盘 故障 。 

(2) 重建 硬盘 的 坏 道 信息 。 

(3) 硬盘 热 备份 。 

(4) 硬盘 热 蔡 换 。 

(5) 扩充 硬盘 容量 。 

过 去 RAID 一 直 作 为 高 档 SCSI 硬盘 的 配套 技术 在 高 档 服务 器 中 使 用 ， 近 年 来 随 着 技术 的 
发 展 和 产品 成 本 的 下 降 ，IDE 硬盘 性 能 有 了 很 大 提升 ， 加 之 RAID 芯片 的 普及 ， 使 得 RAID 也 
逐渐 应 用 到 个 人 计算 机 上 。 

RAID 规范 包含 RAID 0~RAID 7 多 个 等 级 ， 它 们 的 技术 特点 各 不 相同 ， 目 前 投入 商业 应 
用 的 有 下 列 几 种 。 


1，RAID 0 





RAID 0 需要 两 个 以 上 硬盘 驱动 器 ， 每 个 磁盘 划分 为 不 同 的 区 块 ， 如 图 11-67 所 示 。 数据 按 
区 块 Al、A2、A3、A4…… 的 顺序 存储 ， 数 据 访问 采用 交叉 存 取 、 并 行 传输 的 方式 。 将 数据 分 
布 在 不 同 驱动 器 上 ， 可 以 提高 传输 速度 ， 平 衡 驱 动 器 的 负载 。 但 这 种 系统 没有 差错 控制 措施 ， 
如 果 一 个 盘 上 的 数据 出 现 错误 , 其 他 盘 上 的 数据 也 无 用 了 。 RAID 0 不 能 用 于 对 数据 稳定 性 要 求 
较 高 的 场合 。 如 果 进 行 图 像 编 辑 ， 或 其 他 要 求 传输 速度 比较 高 的 场合 ， 使 用 RAID 0 比较 合适 。 
在 所 有 级 别 中 ，RAID 0 的 速度 是 最 快 的 。 


2.RAID 1 





上 共有 磁盘 镜像 功能 , 可 利用 并 行 读 / 写 特性 将 数据 分 块 并 同时 写 入 主 磁盘 和 镜像 盘 , 磁盘 容 
量 的 利用 率 只 有 50% ， 它 是 以 牺牲 磁盘 容量 为 代价 换取 可 靠 性 的 提高 。 在 图 11-68 中 ， 磁 盘 1 
是 主 磁盘 ， 人 磁盘 2 是 镜像 盘 。 

RAID 1 控制 器 能 够 同时 对 两 个 盘 进 行 读 / 写 操作 ， 通 过 镜像 技术 提高 系统 的 容错 能 力 。 当 
主 硬盘 损坏 时 ， 镜 像 硬 盘 就 可 以 代替 主 硬盘 工作 ， 镜 像 硬盘 相当 于 一 个 备份 盘 ， 这 种 硬盘 控制 
模式 的 安全 性 是 非常 高 的 -RAID 1 的 差错 校 验 功能 对 系统 的 处 理 能 力 有 很 大 影响 ,通常 的 RAD 
功能 由 软件 实现 ， 在 服务 器 负载 比较 重 时 会 影响 其 工作 效率 。 当 系统 需要 极 高 的 可 靠 性 时 ， 例 
如 进行 数据 统计 ， 使 用 RAID 1 比较 合适 。RAID 1 技术 支持 热 蔡 换 ， 即 在 不 断 电 的 情况 下 对 故 
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障 磁盘 进行 更 换 ， 更 换 完毕 后 只 要 从 镜像 盘 上 恢复 数据 即 可 。 
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图 11-67 RAID0 图 11-68 RAID1 


3. RAID2 和 RAID3 


RAID 2 与 RAID 3 类 似 ， 两 者 都 是 将 数据 分 块 存储 在 不 同 的 硬盘 上 实现 多 模块 交叉 存 取 ， 
并 在 数据 访问 时 提供 差错 校 验 功能 。RAID 2 使 用 海 明 码 进行 差错 校 验 , 需要 单独 的 磁盘 存放 校 
验 与 恢复 信息 。RAID 2 的 实现 技术 代价 昂贵 ， 在 商业 环境 中 很 少 使 用 。 

RAID 3 采用 奇偶 校 验 方式 ， 只 能 查 错 不 能 纠 错 。 这 种 技术 需要 3 个 以 上 的 驱动 器 ， 一 个 
磁盘 专门 存放 奇偶 校 验 码 ， 其 他 磁盘 作为 数据 盘 实 现 多 模块 交叉 存 取 ， 如 图 11-69 所 示 。RAID 3 
访问 数据 时 一 次 处 理 一 个 区 块 ， 这 样 可 以 提高 读 取 和 写 入 的 速度 ， 奇 偶 校 验 码 在 写 入 数据 时 产 
生 并 保存 在 校 验 盘 上 。RAID 3 主要 用 于 图 形 图 像 处 理 等 要 求知 叶 率 比较 高 的 场合 , 对 于 大 量 的 
连续 数据 可 提供 良好 的 传输 速率 ， 但 对 于 随机 数据 ， 奇 偶 校 验 盘 会 成 为 写 操作 的 瓶颈 。 利 用 单 
独 的 奇偶 校 验 盘 来 保护 数据 可 以 使 磁盘 的 利用 率 提高 到 (n-1) /n。 
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区 块 0 区 块 1 区 块 2 | 区 块 3 
区 块 4 区 块 5 区 块 6 | 区 块 7 
区 块 8 区 块 9 区 块 10 | 区 块 1 





























图 11-69 RAID3 


4. RAIDS 


这 是 一 种 分 布 式 奇偶 校 验 的 独立 磁盘 结构 。 与 RAID 3 不 同 的 地 方 是 ， 用 来 进行 纠 错 的 校 
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验 信息 分 布 在 各 个 数据 盘 上 ， 没 有 专门 的 校 验 盘 ， 图 11-70 中 的 P01 表示 区 块 0 和 区 块 1 按 位 
异 或 运算 后 得 到 的 校 验 和 ， 以 此 类 推 。 这 种 校 验 方式 允许 

















任何 一 台 磁 盘 机 损坏 ， 例 如 磁盘 3 坏 了 ， 则 可 以 用 区 块 0 | 磁盘 1 磁盘 2 磁盘 3 
和 区 块 1 进行 异 或 运算 重新 得 到 P01， 用 P23 和 区 块 3 进 
行 异 或 运算 重新 得 到 区 块 3， 以 此 类 推 。 区 块 0 





RAID 5 的 读 出 效率 很 高 ， 写 入 效率 一 般 ， 对 区 块 式 SS 
的 聚集 访问 效率 不 错 。 由 于 奇偶 校 验 码 分 布 在 不 同 的 碰 盘 
上 ， 允 许 单个 磁盘 出 错 ， 所 以 提高 了 可 靠 性 ， 也 提高 了 磁 | 区 块 5 
盘 的 利用 率 。 但 是 它 对 数据 传输 的 并 行 性 解决 得 不 好 ， 而 
且 控 制 器 的 设计 也 相当 复杂 。 对 于 RAID 5 来 说 ， 大 部 分 
数据 传输 只 对 一 块 磁盘 操作 ， 可 进行 并 行 访问 。 


5. RAID 0+1 

















区 块 6 














正如 其 名 字 所 暗示 的 一 样 , RAID 0+1 是 RAID 0 和 RAID 1 的 组 合 形式 , 也 称 为 RAID 10。 
在 此 以 4 个 磁盘 组 成 的 RAID 0+1 为 例 ， 其 数据 存储 方式 如 图 11-71 所 示 。RAID 0+1 是 存储 性 
能 和 数据 安全 兼顾 的 方案 。 它 在 提供 与 RAID 1 同样 的 数据 安全 保障 的 同时 也 提供 了 与 RAID 0 
近似 的 访问 速率 。 












































磁盘 1 磁盘 2 磁盘 3 磁盘 4 
区 块 0 区 块 0 区 块 1 区 块 1 
区 块 2 区 块 2 区 块 3 区 块 3 
区 块 4 区 块 4 区 块 5 区 块 5 
区 块 6 区 块 6 区 块 7 区 块 7 



































图 11-71 RAID 0+1 


由 于 RAID 0+1 通过 数据 的 100% 备 份 提供 数据 安全 保障 , 因此 RAID 0+1 的 磁盘 空间 利用 
率 与 RAID 1 相同 ， 存 储 成 本 很 高 。 

RAID 0+1 的 特点 使 其 特别 适用 于 既 有 大 量 数据 需要 存 取 ， 同 时 又 对 数据 安全 性 要 求 严格 
的 领域 ， 例 如 银行 、 金 融 、 商 业 超市 、 仓 储 库房 和 各 种 档案 管理 等 。 
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6. JBOD 模式 


JBOD 代表 Just a Bunch of Drives, 它 是 在 逻辑 上 将 几 个 物理 磁盘 连接 起 来 的 ,， 组 成 一 个 大 
的 逻辑 磁盘 。JBOD 不 提供 容错 ， 其 容量 等 于 所 有 磁盘 容量 的 总 和 。 从 严格 意义 上 说 ，JBOD 
不 属于 RAID 的 范围 ， 不 过 现在 很 多 IDE RAID 控制 芯片 都 带 有 这 种 模式 。JBOD 就 是 简单 的 
硬盘 容量 全 加 ， 但 系统 处 理 时 并 没有 采用 并 行 的 方式 ， 写 入 数据 的 时 候 是 先 写 一 块 硬盘 ， 写 满 
了 再 写 第 二 块 硬盘 。 

实际 应 用 中 最 常见 的 是 RAID 0、RAID 1、RAID 5 和 RAID 10。 由 于 在 大 多 数 场合 , RAID 
5 包含 了 RAID 2 一 4 的 优点 ,所 以 RAID 2 一 4 基本 退出 市 场 , 一 般 认 为 RAID 2 一 4 只 用 于 RAID 
的 开发 研究 领域 。 


11.9.2 ”网 络 存储 


基于 Windows、Linux 和 UNIX 等 操作 系统 的 服务 器 称 为 开放 系统 。 开 放 系统 的 数据 存储 
方式 分 为 内 置 存储 和 外 挂 存储 丙种 ， 而 外 挂 存储 又 根据 连接 的 方式 分 为 直 连 式 存储 和 网 络 化 存 
储 ， 目 前 应 用 的 网 络 化 存储 方式 有 丙种， 即 网 络 接 入 存储 和 存储 区 域 网 络 ， 如 图 11-72 所 示 。 
F 面 介绍 开放 系统 的 外 挂 存储 方式 。 


1. 直 连 式 存储 


开放 系统 的 直 连 式 存储 (Direct-Attached Storage，DAS) 如 图 11-73 所 示 ， 即 在 服务 器 上 
外 挂 了 一 组 大 容量 硬盘 ， 存 储 设备 与 服务 器 主机 之 间 采 用 SCSI 通道 连接 ， 带 宽 为 10Mbps、 


20Mbps、40Mbps 和 80Mbps 等 。 
应 用 服务 器 
文件 系统 


SCSI 或 FC 













内 置 存储 
| 


直 连 式 存储 
外 挂 仓储 | 网 络 接 人 存储 


网 络 化 存储 | 
存储 区 域 网 络 


图 11-72 存储 系统 的 分 类 图 11-73 DAS 
直 连 式 存储 直接 将 存储 设备 连接 到 服务 器 上 ， 这 种 方法 难以 扩展 存储 容量 ， 而 且 不 支持 数 
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据 容错 功能 ， 当 服务 器 出 现 异常 时 ， 会 造成 数据 丢失 。 

随 着 服务 器 CPU 处 理 能 力 的 不 断 增强 , 磁盘 存储 空间 越 来 越 大 , 硬盘 数量 越 来 越 多 , SCSI 
通道 将 会 成 为 IO 瓶颈 。 同时， 由 于 服务 器 主机 的 SCSIID 资源 有 限 ， 能 够 建立 的 SCSI 通道 连 
接 也 有 限 。 无 论 存储 阵列 或 是 服务 器 主机 的 扩展 ， 都 会 造成 系统 的 停机 ， 从 而 给 企业 带 来 经 济 
损失 ， 对 于 银行 、 电 信和 传媒 等 需要 7X24 小 时 服务 的 行业 ， 这 是 不 可 接受 的 。 

DAS 已 经 有 近 40 年 的 使 用 历史 ， 目 前 正在 让 位 于 日 渐 兴盛 的 网 络 化 存储 。 


2. 网 络 接 入 存储 


网 络 化 存储 的 出 现 适 应 了 网 络 成 为 主要 信息 处 理 平台 的 发 展 趋势 , 它 分 扒 了 数据 处 理 和 存 
储 管理 的 功能 ， 计 算 机 负责 数据 处 理 ， 而 存储 子 系统 负责 数据 的 存储 和 管理 。 网 络 化 存储 能 够 
提供 灵活 的 解决 方案 ， 利 用 专用 的 存储 子 系统 可 以 实现 以 下 功能 。 

(1) 在 多 个 存储 子 系统 之 间 合 理 地 分 配 存 储 任务 。 

(2) 在 多 个 存储 位 置 之 间 实现 可 靠 的 数据 传输 。 

(3) 实现 可 靠 的 数据 保护 和 数据 恢复 功能 。 

(4) 实现 多 个 主机 系统 对 数据 的 并 行 访 问 。 

网 络 接 入 存储 (Network Attached Storage，NAS) 是 将 存储 设备 连接 到 现 有 的 网 络 上 来 提 
供 数据 存储 和 文件 访问 服务 的 设备 。NAS 服 务 器 是 在 专用 主机 上 安装 简化 了 的 瘦 操 作 系 统 ( 只 
具有 访问 权限 控制 、 数 据 保 护 和 恢复 等 功能 ) 的 文件 服务 器 。NAS 服务 器 内 置 了 与 网 络 连接 所 
需要 的 协议 ， 可 以 直接 联网 ， 具 有 权限 的 用 户 都 可 以 通过 网 络 来 访问 NAS 服务 器 中 的 文件 。 
NAS 服务 器 直接 连接 磁盘 阵列 ， 它 具备 磁盘 阵列 的 所 有 特征 : 高 容量 、 高 效能 、 高 可 靠 性 。 
NAS 是 真正 即 插 即 用 的 产品 ， 物 理 位 置 灵 活 ， 可 放置 在 工作 组 内 ， 也 可 放 在 其 他 地 点 。 用 户 之 
所 以 选择 NAS 解决 方案 ， 原 因 是 NAS 价格 合理 、 便 于 管理 、 灵 活 且 能 实现 文件 共享 。 

典型 的 NAS 都 连接 到 普通 的 以 太 网 上 ， 提 供 预 先 配 置 好 的 磁盘 容量 和 存储 管理 软件 ， 成 
为 完备 的 网 络 存储 解决 方案 ， 如 图 11-74 所 示 。 


3， 存储 区 域 网 络 


存储 区 域 网 络 (Storage Area Network，SAN) 是 一 种 连接 存储 设备 和 存储 管理 子 系统 的 专 
用 网 络 ， 专 门 提供 数据 存储 和 管理 功能 。SAN 可 以 被 看 作 是 负责 数据 传输 的 后 端 网 络 ， 而 前 端 
网 络 〈 或 称 为 数据 网 络 ) 则 负责 正常 的 TCPJAP 传输 。 用 户 也 可 以 把 SAN 看 作 是 通过 特定 的 互 
连 方式 连接 的 若干 台 存 储 服务 器 组 成 的 单独 的 数据 网 络 ， 提 供 企业 级 的 数据 存储 服务 ， 其 拓扑 
结构 如 图 11-75 所 示 。 

SAN 是 一 种 特殊 的 高 速 网 络 ， 采 用 光纤 通道 (Fibre Channel) 实现 互 连 ， 通 过 光纤 通道 交 
换 机 连接 存储 阵列 和 文件 服务 器 主机 。SAN 不 仅 可 以 提供 大 容量 的 存储 数据 ， 而 且 地 域 上 可 以 
分 散 部 署 ， 从 而 缓解 了 大 量 数据 传输 对 于 局 域 网 通信 的 影响 。SAN 的 结构 使 得 文件 服务 器 可 以 
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连接 到 任何 存储 阵列 ， 不 管 数据 存放 在 哪里 ， 服 务 器 都 可 直接 访问 需要 的 数据 。 


















应 用 服务 器 
应 用 服务 器 
文件 系统 
以 太 网 交换 机 
< FC 交换 机 
RAID RAID 
图 11-74 NAS 的 体系 结构 图 11-75 ”SAN 拓扑 结构 


与 NAS 相 比 ，SAN 具有 下 面 的 特点 。 

(1) SAN 具有 无 限 的 扩展 能 力 。 由 于 SAN 采用 了 网 络 结构 ,文件 服务 器 可 以 访问 SAN 网 
络 上 的 任何 一 个 存储 设备 ， 因 此 用 户 可 以 自由 扩展 磁盘 阵列 、 磁 带 库 和 服务 器 等 设备 ， 使 得 整 
个 系统 的 存储 空间 和 处 理 能 力 可 以 按照 用 户 需 求 不 断 扩 大 。 

(2) SAN 采用 了 为 大 规模 数据 传输 专门 设计 的 光纤 通道 技术 , 所 以 具有 更 高 的 传输 速度 和 
更 快 的 处 理 能 力 。 

图 11-76 表示 的 是 用 户 存储 文件 的 过 程 。 当 客户 端 把 要 存储 的 文件 发 送 给 文件 服务 器 时 ， 
文件 服务 器 不 是 把 数据 存储 在 本 地 的 硬盘 上 ， 而 是 将 其 发 送 给 SAN 网 络 ， 如 果 光 纤 通 道 交换 
机 存储 在 适当 的 存储 设备 上 ， 这 些 文件 可 以 自动 地 转发 到 其 他 存储 设备 上 ， 以 实现 数据 镜像 和 
系统 容 灾 。 





图 11-76 SAN 拓扑 结构 
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网 络 规划 和 设计 是 根据 网 络 建设 的 目标 进行 需求 分 析 ， 设 计 网 络 的 逻辑 结构 和 物理 结构 ， 
为 网 络 工程 的 安装 和 配置 准备 各 种 技术 文档 。 网 络 规划 和 设计 过 程 是 一 个 迭代 和 优化 的 过 程 ， 
在 网 络 的 生命 周期 中 这 个 过 程 重 复 多 次 ， 使 得 建成 的 网 络 能 够 适应 技术 的 发 展 和 应 用 的 变化 ， 
为 用 户 提供 一 个 高 效 适用 的 网 络 计算 平台 。 本 章 重点 讲述 网 络 分 析 和 设计 过 程 ， 并 且 介绍 了 结 
构 化 综合 布线 系统 和 网 络 故 障 诊断 方法 ， 最 后 给 出 了 网 络 部 署 和 配置 的 实例 。 


12.1 结构 化 布线 系统 


结构 化 综合 布线 系统 (Structure Cabling System) 是 基于 现代 计算 机 技术 的 通信 物理 平台 ， 
集成 了 语音 、 数 据 、 图 像 和 视频 的 传输 功能 ， 消 除了 原 有 通信 线路 在 传输 介质 上 的 差别 。 结 构 
化 综合 布线 系统 包括 建筑 物 综合 布线 系统 (Premises Distribution System，PDS)、 智 能 大 厦 布 线 
系统 (Intelligent Building System，IBS) 和 工业 布线 系统 (Industry Distribution System，IDS)。 
这 里 要 讲 的 是 建筑 物 综合 布线 系统 PDS， 这 是 一 种 能 支持 话音 和 数据 通信 、 支 持 安全 监控 和 传 
感 器 信号 传输 、 支 持 多 媒体 和 高 速 网 络 应 用 的 电信 系统 ， 通 过 一 次 性 布线 提供 各 种 通信 线路 ， 
并 且 可 以 根据 应 用 需求 变化 和 技术 发 展 趋势 进行 扩充 ， 是 一 种 技术 先进 、 具 有 长 远 效 益 的 解决 
方案 。 

结构 化 综合 布线 系统 应 满足 下 列 要求 。 

。 ”标准 化 : 采用 国际 、 国 家 规范 和 标准 来 设计 、 施 工 和 测试 系统 ， 采 用 符合 国际 和 国家 

标准 、 得 到 国际 权威 机 构 认 证 的 产品 。 
。 ”实用 性 : 针对 实际 应 用 的 需要 和 特点 来 建设 系统 ， 保 证 系统 能 满足 现在 和 将 来 应 用 的 




















。 ”先进 性 : 采用 国际 最 新 技术 ,系统 设计 应 具有 一 定 的 超前 意识 , 保证 在 5 至 10 年 内 技 
术 上 不 落后 。 

。 放 性 : 充分 考虑 整个 系统 的 开放 性 ， 系 统 要 兼容 不 同类 型 的 信号 ， 适 应 各 种 网 络 拓 
扑 结构 和 各 种 应 用 的 要 求 。 

。 ”结构 化 、 层 次 化 : 易于 管理 和 维护 系统 ,应 具有 充足 的 扩展 余地 ， 具 有 一 定 的 灵活 性 、 
较 强 的 可 靠 性 和 容错 性 。 


结构 化 布线 系统 分 为 6 个 子 系统 : 工作 区 子 系统 、 水 平 布线 子 系统 、 干 线 子 系统 、 设 备 间 
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子 系统 、 管 理子 系统 和 建筑 群 子 系统 ， 


如 图 12-1 所 示 。 





























图 12-1 结构 化 布线 示意 图 


1. 工作 区 子 系统 (Work Location) 


工作 区 子 系统 是 由 终端 设备 到 信息 插座 的 整个 区 域 。 一 个 独立 的 需要 安装 终端 设备 的 区 域 
划分 为 一 个 工作 区 。 工 作 区 应 支持 电话 、 数 据 终端 、 计 算 机 、 电 视 机 、 监 视 器 以 及 传感器 等 多 





种 终端 设备 。 





信息 插座 的 类 型 应 根据 终端 设备 的 种 类 而 定 。 信 息 插 座 的 安装 分 为 嵌入 式 ( 新 建筑 物 ) 和 
表面 安装 ( 老 建筑 物 ) 两 种 方式 , 信息 插座 通常 安装 在 工作 间 四 周 的 墙壁 下 方 , 距离 地 面 30cm， 
也 有 的 安装 在 用 户 办 公 桌 上 。 通 常 一 个 信息 插座 需要 9n 的 空间 。 


2. 水 平 布线 子 系统 〈Horizontal) 


各 个 楼 层 接线 间 的 配 线 架 到 工作 


区 信息 插座 之 间 亡 安装 的 线 缆 属 于 水 平 布线 子 系统 。 水 了 








I 


布线 子 系统 的 作用 是 将 干线 子 系统 线路 延伸 到 用 户 工作 区 。 在 进行 水 平 布线 时 ， 传 输 介 质 中 间 
不 宜 有 转折 点 ， 两 端 应 直接 从 配 线 架 连接 到 工作 区 的 信息 插座 。 水 平 布线 的 布线 通道 有 两 种 ; 
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一 种 是 暗 管 预 埋 、 南 面 引线 方式 ， 另 一 种 是 地 下 管 槽 、 地 面 引线 方式 。 前 者 适用 于 多 数 建筑 系 
统 ， 一 旦 铺设 完成 ， 不 易 更 改 和 维护 ， 后 者 适合 于 少 墙 多 柱 的 环境 ， 更 改 和 维护 方便 。 


3. 管理 子 系统 (Administration ) 


管理 子 系统 设置 在 楼 层 的 接线 间 内 ， 由 各 种 交 连 设备 〈 双 绞 线 跳 线 架 、 光 纤 跳 线 架 ) 以 及 
集线器 和 交换 机 等 交换 设备 组 成 ， 交 连 方式 取决 于 网 络 拓扑 结构 和 工作 区 设备 的 要 求 。 交 连 设 
备 通过 水 平 布线 子 系统 连接 到 各 个 工作 区 的 信息 插座 ， 集 线 器 或 交换 机 与 交 连 设备 之 间 通过 短 
线 费 互 连 ， 这 些 短线 被 称 为 跳 线 。 通 过 跳 线 的 调整 ， 可 以 对 工作 区 的 信息 插座 和 交换 机 端口 之 
间 进 行 连接 切换 。 

高 层 大 楼 采用 多 点 管理 方式 ， 每 一 楼 层 要 有 一 个 配 线 间 ， 用 于 放置 交换 机 、 集 线 器 以 及 配 
线 架 等 设备 。 如 果 楼 层 较 少 ， 宣 采用 单 点 管理 方式 ， 管 理 点 就 设 在 大 楼 的 设备 间 内 。 


4. 干线 子 系统 (Backbone) 








干线 子 系统 是 建筑 物 的 主干 线 绕 ， 实 现 各 楼 层 设备 间 子 系统 之 间 的 互 连 。 干线 子 系统 通常 
由 垂直 的 大 对 数 铜 线 或 光缆 组 成 ， 一 头 端 接 于 设备 间 的 主 配 线 架 上 ， 另 一 头 端 接 在 楼 层 接 线 间 
的 管理 配 线 架 上 。 

主干 子 系统 在 设计 时 ， 对 于 旧 建 筑 物 ， 主 要 采用 楼 层 牵 引 管 方式 铺设 ， 对 于 新 建筑 物 ， 则 
利用 建筑 物 的 线 井 进行 铺设 。 

S. 设备 间 子 系统 (Equipment) 

建筑 物 的 设备 间 是 网 络 管理 人 员 值 班 的 场所 , 设备 间 子 系统 由 建筑 物 的 进 户 线 、 交 换 设备 、 
电话 、 计 算 机 、 适 配器 以 及 保安 设施 组 成 ， 实 现 中 央 主 配 线 架 与 各 种 不 同 设备 (如 PBX、 网 络 
设备 和 监控 设备 等 ) 之 间 的 连接 。 

在 选择 设备 间 的 位 置 时 ， 要 考虑 连接 方便 性 ， 要 考虑 安装 与 维护 的 方便 ， 设 备 间 通 常 选择 
在 建筑 物 的 中 间 楼 层 。 设备 间 要 有 防 雷 击 、 防 过 压 过 流 的 保护 设备 , 通常 还 要 配备 不 间断 电源 。 

6. 建筑 群 子 系统 《Campus) 








建筑 群 子 系统 也 叫 园 区 子 系统 ， 它 是 连接 各 个 建筑 物 的 通信 系统 。 大 楼 之 间 的 布线 方法 有 
3 种 , 一 种 是 地 下 管道 敷设 方式 , 管道 内 敷设 的 铜 绕 或 光缆 应 遵循 电话 管道 和 入 孔 的 各 种 规定 ， 
安装 时 至 少 应 预 留 一 到 两 个 备用 管 孔 ， 以 备 扩充 之 用 。 第 二 种 是 直 埋 法 ， 要 在 同一 个 沟 内 埋 入 
通信 和 监控 电线， 并 应 设立 明显 的 地 面 标志 。 最 后 一 种 是 架空 明 线 ， 这 种 方法 需要 经 常 维护 。 

在 进行 结构 化 布线 系统 设计 时 , 要 注意 线 线 长 度 的 限制 , 表 12-1 是 EIA/TIA-568 标准 提出 
的 布线 距离 最 大 值 。 
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表 12-1 布线 距离 
子 系统 光纤 (m) 屏蔽 双 绞 线 (m) 无 屏蔽 双 绞 线 (m) 
建筑 群 〈 楼 栋 间 ) 2000 800 700 
主干 (设备 间 到 配 线 间 ) 2000 800 700 
配 线 间 到 工作 区 信息 插座 90 





信息 插座 到 网 卡 





12.2 网络 分 析 与 设计 过 程 


12.2.1 网 络 系统 生命 周期 


一 个 网 络 系统 从 构思 开始 ， 到 最 后 被 淘汰 的 过 程 称 为 网 络 生命 周期 。 一 般 来 说 ， 网 络 生命 
周期 至 少 应 包括 网 络 系统 的 构思 和 计划 、 分 析 和 设计 、 运 行 和 维护 的 过 程 。 网 络 系统 的 生命 周 
期 与 软件 工程 中 的 软件 生命 周期 非常 类 似 ， 首 先 它 是 一 个 循环 欠 代 的 过 程 ， 每 次 循环 友 代 的 动 
力 都 来 自 于 网 络 应 用 需求 的 变更 。 其 次 ， 每 次 循环 过 程 中 都 存在 需求 分 析 、 规 划 设 计 、 实 施 调 
试 和 运营 维护 等 多 个 阶段 。 有 些 网 络 仅仅 经 过 一 个 周期 就 被 淘汰 ， 而 有 些 网 络 在 存活 过 程 中 经 
过 多 次 循环 周期 ， 一 般 来 说 ， 网 络 规模 越 大 、 投 资 越 多 ， 则 可 能 经 历 的 循环 周期 也 越 长 。 

常见 的 迭代 周期 构成 方式 主要 有 以 下 3 种 。 


1. 四 阶段 周期 


四 阶段 周期 能 够 快速 适应 新 的 需求 变化 ， 强 调 网 络 建设 周期 中 的 宏观 管理 ，4 个 阶段 的 划 
分 如 图 12-2 所 示 。 








时 间 轴 
> 





图 12-2 ”四 阶段 周期 


4 个 阶段 分 别 为 构思 与 规划 阶段 、 分 析 与 设计 阶段 、 实 施 与 构建 阶段 和 运行 与 维护 阶段 ， 
这 4 个 阶段 之 间 有 一 定 的 重 登 ， 保 证 了 两 个 阶段 之 间 的 交接 工作 。 
构思 与 规划 阶段 的 主要 工作 是 明确 网 络 设计 的 需求 ， 同 时 确定 新 网 络 的 建设 目标 。 分 析 与 
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作 则 是 根据 设计 方案 进行 设备 购置 、 安 装 、 调 试 ， 建 成 可 试用 的 网 络 环境 。 运 行 维护 阶段 提供 
网 络 服务 ， 并 实施 网 络 管理 。 

四 阶段 周期 的 长 处 在 于 工作 成 本 较 低 、 灵 活性 好 ， 适 用 于 网 络 规模 较 小 、 需 求 较为 明确 、 
网 络 结构 简单 的 工程 项 目 。 


2. 五 阶段 周期 


设计 阶段 的 工作 在 于 根据 网 络 的 需求 进行 设计 ， 并 形成 特定 的 设计 方案 。 实 施 与 构建 阶段 的 工 


五 阶段 周期 是 较为 常见 的 迭代 周期 划分 方式 ， 将 一 次 迭代 划分 为 5 个 阶段 。 

(1) 需求 规范 。 

(2) 通信 规范 。 

(3) 逻辑 网 络 设计 。 

(4) 物理 网 络 设 计 。 

(5) 实施 阶段 。 

在 5 个 阶段 中 , 由 于 每 个 阶段 都 是 一 个 工作 环节 , 每 个 环节 完毕 后 才能 进入 到 下 一 个 环节 ， 
类 似 于 软件 工程 中 的 “瀑布 模型 ”， 形 成 了 特定 的 工作 流程 ， 如 图 12-3 所 示 。 










逻辑 网 络 设计 
TD 


图 12-3 五 阶段 周期 


按照 这 种 流程 构建 网 络 , 在 下 一 个 阶段 开始 之 前 , 前 一 阶段 的 工作 已 经 完成 。 一 般 情况 下 ， 
不 允许 返回 到 前 面 的 阶段 ， 如 果 出 现 前 一 阶段 的 工作 没有 完成 就 开始 进入 下 一 个 阶段 ， 则 会 对 
后 续 的 工作 造成 较 大 的 影响 ， 甚 至 引起 工期 拖 后 和 成 本 超支 。 

这 种 方法 的 主要 优势 在 于 所 有 的 计划 在 较 早 的 阶段 完成 ， 系 统 负责 人 对 系统 的 具体 情况 以 
及 工作 进度 都 非常 清楚 ， 更 容易 协调 工作 。 

五 阶段 周期 的 缺点 是 比较 死板 ， 不 灵活 。 因 为 往往 在 项 目 完成 之 前 ， 用 户 的 需求 经 常会 发 
生变 化 ， 这 使 得 已 开发 的 部 分 需要 经 常 修 改 ， 从 而 影响 工作 的 进程 。 所 以 ， 基 于 这 种 流程 完成 
网 络 设计 时 ， 用 户 的 需求 确认 工作 非常 重要 。 

五 阶段 周期 由 于 存在 较为 严格 的 需求 和 通信 分 析 规范 , 并 且 在 设计 过 程 中 充分 考虑 了 网 络 
的 逻辑 特性 和 物理 特性 ， 因 此 较为 严谨 ， 适 用 于 网 络 规模 较 大 、 需 求 较为 明确 、 需 求 变更 较 小 
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的 网 络 工程 。 
3. 六 阶段 周期 


六 阶段 周期 是 对 五 阶段 周期 的 补充 ， 是 对 其 缺乏 灵活 性 缺陷 的 改进 ， 通 过 在 实施 阶段 前 后 
增加 相应 的 测试 和 优化 过 程 来 提高 网 络 建设 工程 中 对 需求 变更 的 适应 性 。 
6 个 阶段 分 别 由 需求 分 析 、 逻 辑 设 计 、 物 理 设 计 、 设 计 优化 、 实 施 及 测试 、 监 测 及 性 能 优 


化 组 成 ， 如 图 12-4 所 示 。 
2 





监测 及 性 










图 12-4 六 阶段 周期 


在 需求 分 析 阶 段 ， 网 络 分 析 人 员 通 过 与 用 户 进行 交流 来 确定 新 系统 〈 或 升级 系统 ) 的 商业 
目标 和 技术 目标 ， 然 后 归纳 出 当前 网 络 的 特征 ， 分 析 当 前 和 将 来 的 网 络 通信 量 、 网 络 性 能 、 协 
议 行为 和 服务 质量 要 求 。 

逻辑 设计 阶段 主要 完成 网 络 的 拓扑 结构 、 网 络 地 址 分 配 、 设 备 命名 规则 、 交 换 及 路 由 协议 
选择 、 安 全 规划 、 网 络 管理 等 设计 工作 ， 并 且 根 据 这 些 设计 选择 设备 和 服务 供应 商 。 

物理 设计 阶段 是 根据 逻辑 设计 的 结果 选择 具体 的 技术 和 产品 ， 使 得 多 辑 设计 成 果 符合 工程 
设计 规范 的 要 求 。 

设计 优化 阶段 完成 工程 实施 前 的 方案 优化 ， 通 过 召开 专家 研讨 会 、 搭 建 试验 平台 、 网 络 仿 
真 等 多 种 形式 找 出 设计 方案 中 的 缺陷 ， 并 进一步 优化 。 

实施 及 测试 阶段 根据 优化 后 的 方案 购置 设备 ， 进 行 安装 、 调 试 与 测试 工作 ， 通 过 测试 和 试 
用 发 现 网 络 环境 与 设计 方案 的 偏差 ， 纠 正 其 中 的 错误 ， 并 修改 网 络 设计 方案 。 

监测 及 性 能 优化 阶段 是 网 络 的 运营 和 维护 阶段 。 通 过 网 络 管理 、 安 全 管理 等 技术 手段 ， 对 
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网 络 是 否 正常 运行 进行 实时 监控 ， 如 果 发 现 问题 ， 则 通过 优化 网 络 设备 配置 参数 来 达到 优化 网 
络 性 能 的 目的 。 如 果 发 现 网 络 性 能 无 法 满足 用 户 的 需求 ， 则 进入 下 一 迭代 周期 。 

六 阶段 周期 偏重 于 网 络 的 测试 和 优化 ， 侧 重 于 网 络 需求 的 不 断 变更 ， 由 于 其 严格 的 逻辑 设 
计 和 物理 设计 规范 ， 使 得 这 种 模式 适合 于 大 型 网 络 的 建设 工作 。 


12.2.2 ”网 络 开发 过 程 


网 络 开发 过 程 描述 了 开发 网 络 时 必须 完成 的 基本 任务 ， 而 网 络 生命 周期 为 描绘 网 络 项 目的 
开发 提供 了 特定 的 理论 模型 ， 因 此 网 络 开 发 过 程 是 指 一 次 迭代 过 程 。 

一 个 网 络 工程 项 目 从 构思 到 最 终 退 出 应 用 ， 一 般 会 遵循 迭代 模型 ， 经 历 多 个 迭代 周期 。 每 
个 周期 的 各 种 工作 可 根据 新 网 络 的 规模 采用 不 同 的 迭代 周期 模型 。 例 如 在 网 络 建设 初期 ， 由 于 
网 络 规模 比较 小 ， 因 此 第 一 次 迭代 周期 的 开发 工作 应 采用 四 阶段 模式 。 随 着 应 用 的 发 展 ， 需 要 
基于 初期 建成 的 网 络 进行 全 面 的 网 络 升级 ， 可 以 在 第 二 次 迭代 周期 中 采用 五 阶段 或 六 阶段 的 
模式 。 

由 于 中 等 规模 的 网 络 较 多 ， 并 且 应 用 范围 较 广 ， 下 面 主要 介绍 五 阶段 迭代 周期 模型 。 这 种 
模型 也 部 分 适用 于 要 求 比较 单纯 的 大 型 网 络 ， 而 且 采 用 六 阶段 周期 时 也 必须 完成 五 阶段 周期 中 
要 求 的 各 项 工作 。 

将 大 型 问题 分 解 为 多 个 小 型 可 解 的 简单 问题 ， 这 是 解决 复杂 问题 的 常用 方法 。 根 据 五 阶段 
迭代 周期 的 模型 ， 网 络 开发 过 程 可 以 被 划分 为 以 下 5 个 阶段 。 

。 需求 分 析 。 

。 现 有 的 网 络 体系 分 析 ， 即 通信 规范 分 析 。 

。 确定 网 络 逻辑 结构 ， 即 逻辑 网 络 设计 。 

。 ”确定 网 络 物理 结构 ， 即 物理 网 络 设计 。 

。 ”安装 和 维护 。 

因此 ， 网 络 工 程 被 分 解 成 为 多 个 容易 理解 、 容 易 处 理 的 部 分 ， 每 个 部 分 的 工作 构成 一 个 阶 
段 ， 各 个 阶段 的 工作 成 果 都 将 直接 影响 到 下 一 阶段 的 工作 开展 ， 这 就 是 五 阶段 周期 被 称 为 流水 
线 的 真正 含义 。 

在 这 5 个 阶段 中 ， 每 个 阶段 都 必须 依据 上 一 阶段 的 成 果 完 成 本 阶段 的 工作 ， 并 形成 本 阶段 
的 工作 成 果 ， 作 为 下 一 阶段 的 工作 依据 。 这 些 阶 段 成 果 分 别 为 需求 规范 、 通 信 规 范 、 罗 辑 网 络 
设计 和 物理 网 络 设计 文档 。 在 大 多 数 网 络 工程 中 ， 网 络 开发 过 程 可 以 用 图 12-5 来 描述 。 

下 面 详细 介绍 网 络 开 发 过 程 的 各 个 阶段 ， 只 有 理解 了 开发 网 络 项 目的 各 个 阶段 ， 才 可 以 在 
实际 开发 过 程 中 灵活 运用 。 
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| 
需求 分 析 通信 规范 分 析 | | [逻辑 网 络 设计 | | [物理 网 络 设计 安装 和 维护 
确定 需求 ， 包 括 : 
。 商 业 
。 用户 估计 和 测量 > ee 人 
。 应 用 通信 量 及 设备 | | | 选择 符合 需求 | | | 将 逻辑 设计 应 | | | 实现 物理 网 


“计算 机 平台 利用 尝 的 设计 用 到 物理 空间 | | | 络 设计 
































。 网 络 
逻辑 网 物理 网 
络 设计 络 设计 
图 12-5 五 阶段 网 络 开发 过 程 
1. 需求 分 析 


需求 分 析 是 开发 过 程 中 最 关键 的 阶段 ， 所 有 工程 设计 人 员 都 清楚 ， 如 果 在 需求 分 析 阶 段 没 
有 明确 需求 ， 则 会 导致 以 后 各 阶段 的 工作 严重 受阻 。 在 需求 阶段 需要 克服 需求 收集 的 困难 ， 很 
多 时 候 用 户 不 清楚 具体 需求 是 什么 ， 或 者 需求 渐渐 增加 而 且 经 常 发 生变 化 ， 需 求 调研 人 员 必 须 
采用 多 种 方式 与 用 户 交流 才能 挖掘 出 网 络 工程 的 全 面 需求 。 

收集 需求 信息 要 和 不 同 的 用 户 〈 包 括 经 理 人 员 和 网 络 管理 员 ) 进行 交流 ， 要 把 交流 所 得 信 
息 进 行 归纳 解释 、 去 伪 存 真 。 在 这 个 过 程 中 ， 很 容易 出 现 不 同 用户 群 体 之 间 的 需求 是 矛盾 的 ， 
特别 是 网 络 用 户 和 网 络 管理 员 之 间 会 出 现 分 歧 。 网 络 用户 总 是 希望 能 够 更 多 、 更 方便 地 享用 网 
络 资源 ， 而 网 络 管理 员 更 希望 网 络 稳定 和 易于 管理 。 网 络 设计 人 员 要 在 设计 工作 中 根据 工程 经 
验 均衡 考虑 各 方 利益 ， 这 样 才能 保证 最 终 的 网 络 是 可 用 的 。 

收集 需求 信息 是 一 项 费时 的 工作 ， 也 不 可 能 很 快 产生 非常 明确 的 需求 ， 但 是 可 以 明确 需求 
变化 的 范围 ， 通 过 网 络 设计 的 伸缩 性 保证 网 络 工 程 满足 用 户 的 需求 变化 。 需 求 分 析 有 助 于 设计 
者 更 好 地 理解 网 络 应 该 具有 什么 样 的 功能 和 性 能 ， 最 终 设计 出 符合 用 户 需 求 的 网 络 。 

不 同 的 用 户 有 不 同 的 网 络 需求 ， 收 集 的 需求 范围 如 下 。 

(1) 业务 需求 。 

(2) 用 户 需求 。 

(3) 应 用 需求 。 

(4) 计算 机 平台 需求 。 

(5) 网 络 通信 需求 。 

详细 的 需求 描述 使 得 最 终 的 网 络 更 有 可 能 满足 用 户 的 要 求 。 需 求 收集 过 程 必须 同时 考虑 现 
在 和 将 来 的 需要 ， 如 不 适当 考虑 将 来 的 发 展 ， 以 后 将 会 很 难 实现 对 网 络 的 扩展 。 
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需求 分 析 的 输出 是 产生 一 份 需求 说 明 书 ， 也 就 是 需求 规范 。 网 络 设计 者 必须 把 需求 记录 在 
需求 说 明 书 中 ， 清 楚 而 细致 地 总 结 单位 和 个 人 的 需要 意愿 。 在 写 完 需求 说 明 书 后 ， 管 理 者 与 网 
络 设计 者 应 该 达成 共识 ， 并 在 文件 上 签字 ， 这 是 规避 网 络 建设 风险 的 关键 。 这 时 需求 说 明 书 就 
成 为 开发 小 组 和 业主 之 间 的 协议 ， 也 就 是 说 ， 业 主 认可 文件 中 对 他 们 所 要 的 系统 的 描述 ， 网 络 
开发 者 同意 提供 这 样 的 系统 。 

在 形成 需求 说 明 书 的 同时 ， 网 络 工程 设计 人 员 还 必须 与 网 络 管理 部 门 就 需求 的 变化 建立 起 
需求 变更 机 制 ， 明 确 允 许 的 变更 范围 。 这 些 内 容 正 式 通过 后 ， 开 发 过 程 就 可 以 进入 下 一 个 阶 
段 了 。 


2. 现 有 网 络 系统 的 分 析 


如 果 当 前 的 网 络 开发 过 程 是 对 现 有 网 络 的 升级 和 改造 ， 必 须 进 行 现 有 网 络 系统 的 分 析 工 
作 。 现 有 网 络 系统 分 析 的 目的 是 描述 资源 分 布 ， 以 便于 在 升级 时 尽量 保护 已 有 的 投资 。 

升级 后 的 网 络 效率 和 当前 网 络 中 的 各 类 资源 是 否 满足 新 的 需求 是 相关 的 。 如 果 现 有 的 网 络 
设备 不 能 满足 新 的 需求 ， 就 必须 淘汰 旧 的 设备 ， 购 置 新 设备 。 在 写 完 需求 说 明 书 之 后 ， 设 计 过 
程 开 始 之 前 ， 必 须 彻 底 分 析 现 有 网 络 的 各 类 资源 。 

在 这 一 阶段 ， 应 给 出 一 份 正式 的 通信 规范 说 明文 档 作为 下 一 个 阶段 的 输入 。 网 络 分 析 阶 段 
应 该 提供 的 通信 规范 说 明文 档 包 含 下 列 内 容 。 

(1) 现 有 网 络 的 拓扑 结构 图 。 

(2) 现 有 网 络 的 容量 ， 以 及 新 网 络 所 需 的 通信 量 和 通信 模式 。 

(3) 详细 的 统计 数据 ， 直 接 反映 现 有 网 络 性 能 的 测量 值 。 

(4) Intemet 接口 和 广域网 提供 的 服务 质量 报告 。 

(5) 限制 因素 列表 ， 例 如 使 用 线 缆 和 设备 清单 等 。 


3. 确定 网 络 逻辑 结构 


网 络 逻 辑 结构 设计 是 体现 网 络 设计 核心 思想 的 关键 阶段 ， 在 这 一 阶段 根据 需求 规范 和 通信 
规范 选择 一 种 比较 适宜 的 网 络 逻辑 结构 ， 并 实施 后 续 的 资源 分 配 规划 、 安 全 规划 等 内 容 。 

网 络 逻 辑 结构 要 根据 用 户 需 求 中 描述 的 网 络 功能 、 性 能 等 要 求 来 设计 ， 风 辑 设计 要 根据 网 
络 用 户 的 分 类 和 分 布 形 成 特定 的 网 络 结构 。 网 络 逻 辑 结 构 大 致 描述 了 设备 的 互联 及 分 布 范 围 
但 是 不 确定 具体 的 物理 位 置 和 运行 环境 。 

一 个 具体 的 网 络 设备 ， 在 不 同 的 协议 层次 上 其 连接 关系 是 不 同 的 ， 在 网 络 层 和 数据 链 路 层 
尤其 如 此 。 在 逻辑 网 络 设计 阶段 ， 一 般 更 关注 于 网 络 层 的 连接 图 ， 因 为 这 涉及 网 络 互联 、 地 址 
分 配 和 网 络 层 流量 等 关键 因素 。 

网 络 设计 者 利用 需求 分 析 和 现 有 网 络 体系 分 析 的 结果 来 设计 逻辑 网 络 结构 。 如 果 现 有 的 
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软件 、 便 件 不 能 满足 新 网 络 的 需求 ， 现 有 系统 就 必须 升级 。 如 果 现 有 系统 能 够 继续 使 用 ， 可 以 
将 它们 集成 到 新 设计 中 来 。 如 果 不 集成 旧 系统 ， 网 络 设计 小 组 可 以 找 一 个 新 系统 ， 对 它 进行 测 
试 ， 确 定 是 否 符合 用 户 的 需求 。 

这 个 阶段 最 后 应 该 得 到 一 份 逻辑 设计 文档 ， 输 出 的 内 容 包括 以 下 几 点 。 

(1) 网 络 逻辑 设计 图 。 

(2) 人 P 地 址 分 配方 案 。 

(3) 安全 管理 方案 。 

(4) 具体 的 软 / 硬 件 、 广 域 网 连接 设备 和 基本 的 网 络 服务 。 

(5) 招聘 和 培训 网 络 员工 的 具体 说 明 。 

(6) 对 软 /硬件 费用 、 服 务 提供 费用 以 及 员工 和 培训 费用 的 初步 估计 。 


4. 确定 网 络 物理 结构 


物理 网 络 设计 是 逻辑 网 络 设计 的 具体 实现 ， 通 过 对 设备 的 具体 物理 分 布 、 运 行 环境 等 的 确 
定 来 确保 网 络 的 物理 连接 符合 罗 辑 设计 的 要 求 。 在 这 一 阶段 ， 网 络 设计 者 需要 确定 具体 的 软 / 
硬件 、 连 接 设备 、 布 线 和 服务 的 部 署 方案 。 

网 络 物理 结构 设计 文档 必须 尽 可 能 详细 、 清 晰 ， 输 出 的 内 容 如 下 。 

(1) 网 络 物理 结构 图 和 布线 方案 。 

(2) 设备 和 部 件 的 详细 列表 清单 。 

(3) 软 /硬件 和 安装 费用 的 估算 。 

(4) 安装 日 程 表 ， 详 细 说 明 服 务 的 时 间 以 及 期 限 。 

(5) 安装 后 的 测试 计划 。 

(6) 用 户 的 培训 计划 。 

5. 安装 和 维护 


第 5 个 阶段 可 以 分 为 两 个 小 阶段 ， 分 别 是 安装 和 维护 。 

(1) 安装 。 这 是 根据 前 面 的 工程 成 果实 施 环境 准备 、 设 备 安装 调试 的 过 程 。 安 装 阶段 的 主 
要 输出 就 是 网 络 本 身 。 安 装 阶段 应 该 产生 的 输出 如 下 。 

。 ”逻辑 网 络 结构 图 和 物理 网 络 部 署 图 ， 以 便于 管理 人 员 快 速 了 解 和 掌握 网 络 的 结构 。 

。 符合 规范 的 设备 连接 图 和 布线 图 ， 同 时 包括 线 缆 、 连 接 器 和 设备 的 规范 标识 。 

。 运营 维护 记录 和 文档 ， 包 括 测试 结果 和 数据 流量 记录 。 

在 安装 开始 之 前 ， 所 有 的 软 /硬件 资源 必须 准备 完毕 ， 并 通过 测试 。 在 网 络 投入 运营 之 前 
必须 准备 好 人 员 、 培 训 、 服 务 和 协议 等 资源 。 

(2) 维护 。 网络 安装 完成 后 ， 接 受用 户 的 反馈 意见 和 监控 网 络 的 运行 是 网 络 管理 员 的 任务 。 
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网 络 投入 运行 后 ， 需 要 做 大 量 的 故障 监测 和 故障 恢复 ， 以 及 网 络 升 级 和 性 能 优化 等 维护 工作 。 
网 络 维护 也 是 网 络 产品 的 售后 服务 工作 。 


12.2.3 网络 设 计 的 约束 因素 


网 络 设计 的 约束 因素 是 网 络 设计 工作 必须 遵循 的 一 些 附加 条 件 ， 一 个 网 络 设计 如 果 不 满足 
约束 条 件 ， 将 导致 该 网 络 设计 方案 无 法 实施 。 所 以 在 需求 分 析 阶 段 ， 确 定 用 户 需求 的 同时 也 应 
该 明确 可 能 出 现 的 约束 条 件 。 一 般 来 说 ， 网 络 设 计 的 约束 因素 主要 来 自 于 政策 、 预 算 、 时 间 和 
应 用 目标 等 方面 。 


1. 政策 约束 


了 解 政策 约束 的 目的 是 为 了 发 现 可 能 导致 项 目 失败 的 事务 安排 ， 以 及 利益 关系 或 历史 因素 
导致 的 对 网 络 建设 目标 的 争论 意见 。 政 策 约束 的 来 源 包括 法 律 、 法 规 、 行 业 规定 、 业 务 规范 和 
技术 规范 等 。 政 策 约束 的 具体 表现 是 法 律 法 规 条 文 ， 以 及 国际 、 国 家 和 行业 标准 等 。 

在 网 络 开发 过 程 中 ， 设 计 人 员 需 要 与 客户 就 协议 、 标 准 、 供 应 商 等 方面 的 政策 进行 讨论 ， 
弄 清楚 客户 在 信息 传输 、 路 由 选择 、 工 作 平 台 或 其 他 方面 是 否 已 经 制定 了 标准 ， 是 否 有 关于 开 
发 和 专 有 解决 方案 的 规定 ， 是 否 有 认可 供应 商 或 平台 方面 的 规定 ， 是 否 允 许 不 同 厂商 之 间 的 竞 
争 等 。 在 明确 了 这 些 政 策 约束 后 ， 才 能 开展 后 期 的 设计 工作 ， 以 免 出 现 设 计 失败 或 重复 设计 的 
现象 。 


2. 预算 约束 


预算 是 决定 网 络 设计 的 关键 因素 ， 很 多 满足 用 户 需 求 的 优良 设计 因为 突破 了 用 户 的 基本 预 
算 而 不 能 实施 。 如 果 用 户 的 预算 是 弹性 的 ， 那 就 意味 着 赋予 了 设计 人 员 更 多 的 空间 ， 设 计 人 员 
可 以 从 用 户 满意 度 、 可 扩展 性 和 易 维 护 性 等 多 个 角度 对 设计 进行 优化 。 但 是 大 多 数 情况 下 ， 设 
计 人 员 面 对 的 是 刚性 的 预算 ， 预 算 可 调整 的 幅度 非常 小 。 在 刚性 预算 下 实现 满意 度 、 可 扩展 性 、 
易 维护 性 是 需要 大 量 工程 设计 经 验 的 。 

对 于 预算 不 能 满足 用 户 需 求 的 情况 ， 放 弃 网 络 设计 工作 并 不 是 积极 的 态度 ， 正 确 的 做 法 是 
在 统筹 规划 的 基础 上 将 网 络 建设 工作 划分 为 多 个 迭代 周期 ， 同 时 将 网 络 建设 目标 分 解 为 多 个 阶 
段 性 目标 ， 通 过 阶段 性 目标 的 实现 ， 达 到 最 终 满 足 用 户 全 部 需求 的 目的 ， 当 前 预算 仅 用 于 完成 
当前 迭代 周期 的 建设 目标 。 

网 络 预算 一 般 分 为 一 次 性 投资 预算 和 周期 性 投资 预算 。 一 次 性 投资 预算 主要 用 于 网 络 的 初 
始 建设 ， 包 括 采购 设备 、 购 买 软件 、 维 护 和 测试 系统 、 培 训 工作 人 员 以 及 设计 和 安装 系统 的 费 
用 ， 应 根据 一 次 性 投资 预算 的 多 少 进行 设备 选 型 ， 确 保 网 络 初始 建设 的 可 行 性 。 周 期 性 投资 预 
算 主要 用 于 后 期 的 运营 维护 ， 包 括 人 员 方 面 的 开销 、 设 备 维护 消耗 、 软 件 升级 消耗 、 信 息 费 用 
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以 及 线路 租用 费用 等 。 
3. 时 间 约束 


网 络 设计 的 进度 安排 是 需要 考虑 的 另 一 个 问题 。 项 目 进 度 表 限 定 了 项 目 最 后 的 期 限 和 重要 
的 阶段 。 通 常 ， 项 目 进度 由 客户 负责 管理 ， 但 网 络 设计 者 必须 就 该 日 程 表 是 否 可 行 提出 自己 的 
意见 。 现 在 有 许多 种 开发 进度 表 的 工具 ， 在 全 面 了 解 了 项 目 之 后 ， 网 络 设计 者 要 对 安排 的 计划 
与 进度 表 的 时 间 进行 分 析 ， 对 于 存在 疑问 的 地 方 及 时 与 客户 进行 沟通 。 


4. 应 用 目标 的 检查 和 确认 


在 进行 下 一 阶段 的 任务 之 前 ， 需 要 确定 是 否 了 解 了 客户 的 应 用 目标 和 所 关心 的 事项 。 通 过 
应 用 目标 检查 ， 可 以 避免 用 户 需求 的 缺失 ， 检 查 形式 包括 设计 小 组 内 部 的 自我 检查 和 用 户主 管 
部 门 的 确认 检查 。 


12.3 ”网 络 需求 分 析 


网 络 需求 分 析 是 网 络 开发 过 程 的 起 始 部 分 ,在 这 一 阶段 应 明确 客户 所 需 的 网 络 服务 和 网 络 
性 能 。 这 一 节 介绍 需求 收集 和 分 析 的 过 程 ， 并 描述 编制 需求 说 明 书 的 方法 。 


12.3.1 需求 分 析 的 范围 


在 需求 分 析 过 程 中 ， 需 要 考虑 以 下 几 个 方面 的 需求 。 
。 业务 需求 。 

。 用 户 需求 。 

。 应 用 需求 。 

。 计算 机 平台 需求 。 

。 网 络 需求 。 


1. 业务 需求 


在 整个 网 络 开发 过 程 中 ， 应 尽量 保证 设计 的 网 络 能 够 满足 用 户 业 务 的 需求 。 网 络 系统 是 为 
一 个 集体 提供 服务 的 , 在 这 个 集体 中 存在 着 职能 的 分 工 , 也 存在 着 不 同 的 业务 需求 。 一 般 来 说 ， 
用 户 只 对 自己 分 管 的 业务 需求 很 清楚 ， 对 于 其 他 用 户 的 需求 只 有 侧面 的 了 解 ， 因 此 对 于 集体 内 
的 不 同 用 户 都 需要 收集 特定 的 业务 信息 ， 包 括 以 下 信息 。 

(1) 确定 组 织 机 构 。 业 务 需求 收集 的 第 一 步 是 获取 组 织 机 构图 ， 通 过 组 织 机 构图 了 解 集体 
中 的 岗位 设置 以 及 岗位 职责 。 典 型 的 组 织 机 构图 如 图 12-6 所 示 。 
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图 12-6 ”组织 机 构图 


在 调查 组 织 机 构 的 过 程 中 ， 主 要 与 以 下 两 类 人 员 进 行 重点 沟通 。 

。 ”决策 者 :负责 审批 网 络 设计 方案 或 决定 投资 规模 的 管理 人 员 。 

。 ”信息 提供 者 : 负责 解释 业务 战略 、 长 期 计划 和 其 他 日 常 业务 需求 的 人 员 。 

(2) 确定 关键 时 间 点 。 对 于 大 型 项 目 ， 必 须 制定 严格 的 项 目 实施 计划 ， 确 定 各 阶段 关键 的 
时 间 点 ， 这 些 时 间 点 也 是 重要 的 里 程 碑 。 在 计划 设 定 后 ， 要 形成 项 目 建设 日 程 表 ， 以 后 还 要 进 
一 步 细 化 。 

(3) 确定 网 络 投资 规模 。 对 于 整个 网 络 的 设计 和 实施 ， 费 用 是 一 个 主要 考虑 的 因素 ， 投 资 
规模 将 直接 影响 到 网 络 工程 的 设计 思路 、 采 用 的 技术 路 线 以 及 设备 的 购置 和 服务 水 平 。 

在 进行 投资 预算 时 ， 应 根据 工程 建设 内 容 进行 核算 ， 将 一 次 性 投资 (例如 设备 采购 费用 ) 
和 周期 性 投资 〈 例 如 通信 费用 和 人 工 费 用 ) 都 纳入 考虑 范围 。 在 计算 系统 成 本 时 ， 有 关 网 络 设 
计 、 工 程 实施 和 系统 维护 的 每 一 项 成 本 都 应 该 纳入 考虑 中 。 

(4) 确定 业务 活动 。 在 设计 一 个 网 络 项 目 之 前 ， 应 通过 对 业务 活动 的 了 解 来 明确 网 络 的 需 
求 。 一 般 情 况 下 ， 网 络 工程 对 业务 活动 的 了 解 并 不 需要 非常 细致 ， 主 要 是 通过 对 业务 类 型 的 分 
析 形 成 各 类 业务 的 网 络 需 求 ， 包 括 最 大 用 户 数 、 并 发 用 户 数 、 峰 值 带宽 和 正常 带宽 等 。 

(5) 预测 增长 率 。 预 测 增长 率 是 另 一 类 常规 需求 ， 通 过 对 网 络 发 展 趋势 的 分 析 明 确 网 络 的 
伸缩 性 需求 。 预 测 增长 率 主要 考虑 以 下 方面 的 网 络 发 展 趋 势 。 

。 分 支 机 构 增长 率 。 

。 ”网络 覆盖 区 域 增长 率 。 

。 用 户 增长 率 。 

。 ”应 用 增长 率 。 

。 通信 带宽 增长 率 。 

。 ”存储 信息 量 增长 率 。 

预测 增长 情况 主要 采用 两 种 方法 ， 一 种 是 统计 分 析 法 ， 另 一 种 是 模型 匹配 法 。 统 计 分 析 法 
是 基于 该 网 络 之 前 若干 年 的 统计 数据 形成 不 同方 面 的 发 展 趋势 ， 预 测 未 来 几 年 的 增长 率 。 模 型 
匹配 法 是 根据 不 同 的 行业 、 领 域 建立 各 种 增长 率 的 模型 ， 而 网 络 设计 者 根据 当前 网 络 的 情况 和 
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经 验 选择 模型 ， 对 未 来 几 年 的 增长 率 进 行 预测 。 

(6) 确定 网 络 的 可 靠 性 和 可 用 性 。 网 络 的 可 用 性 和 可 靠 性 需求 是 非常 重要 的 ， 甚 至 这 些 指 
标的 参数 可 能 会 影响 到 网 络 的 设计 思路 和 技术 路 线 。 一 般 来 说 , 不 同 的 行业 拥有 不 同 的 可 用 性 、 
可 靠 性 要 求 ， 网 络 设计 人 员 在 进行 需求 分 析 过 程 中 ， 应 首先 获取 行业 的 网 络 可 靠 性 和 可 用 性 标 
准 ， 并 根据 标准 与 用 户 进行 交流 ， 确 定 特殊 的 要 求 。 有 些 特殊 要 求 甚至 可 能 是 可 用 性 要 达到 
7X24 个 小 时 、 线 路 故障 后 立即 完成 备用 线路 切换 ， 并 不 对 应 用 产生 影响 等 非常 苛刻 的 需求 。 

(7) 确定 Web 站 点 和 Intemet 的 连接 。Web 站 点 可 以 自己 构建 ， 也 可 以 外 包 给 网 络 服务 供 
应 商 。 无 论 采 用 哪 种 方式 ， 一 个 组 织 的 Web 站 点 和 内 部 网 络 一 定 要 反映 其 自身 的 业务 需求 。 只 
有 完全 理解 了 一 个 组 织 的 Intemet 业务 策略 ， 才 可 能 设计 出 具有 可 靠 性 、 可 用 性 和 安全 性 的 
网 络 。 

(8) 确定 网 络 的 安全 性 。 在 网 络 安全 设计 方面 ， 既 不 要 过 分 强调 网 络 的 安全 性 ， 也 不 要 对 
网 络 安全 不 导 一 顾 。 正 确 的 设计 思路 是 调查 用 户 的 信息 分 布 ， 对 信息 进行 分 类 ， 根 据 分 类 信息 
的 涉 密 性 质 、 敏 感 程度 、 传 输 与 存储 方式 、 访 问 控制 要 求 等 进行 安全 设计 ， 确 保 在 网 络 性 能 与 
安全 保密 之 间 取 得 平衡 。 

大 多 数 网 络 用 户 的 信息 是 非 涉 密 的 ， 因 此 提供 普通 的 安全 技术 措施 就 可 以 了 。 对 于 有 特殊 
业务 的 网 络 ， 就 需要 对 职员 进行 严格 的 安全 限制 。 网 络 安全 需求 调查 中 最 关键 的 是 不 能 出 现 网 
络 安全 需求 的 扩大 化 ， 提 倡 适 度 安全 。 

(9) 确定 远程 接 入 方式 。 远 程 访问 是 指 从 因特网 或 者 外 部 网 络 访问 企业 内 部 网 络 ， 当 网 络 
用 户 不 在 企业 网 络 内 部 时 ， 可 以 借助 于 加 密 技术 或 VPN 技术 从 远程 站 点 访问 内 部 网 络 。 通 过 
远程 访问 ， 在 任意 时 间 、 任 意 地 点 都 可 以 访问 组 织 的 网 络 资源 。 在 需求 分 析 阶 段 ， 网 络 设计 者 
要 确定 网 络 是 否 具有 远程 访问 的 功能 ， 或 是 根据 网 络 的 升级 需要 ， 以 后 再 考虑 网 络 的 远程 访问 
功能 。 


2. 用 户 需 求 


(1) 收集 用 户 需 求 。 为 了 设计 出 符合 用 户 需 求 的 网 络 ， 收 集 用 户 需 求 的 过 程 应 从 当前 的 网 
络 用 户 开始 ， 必 须 找 出 用 户 需 要 的 重要 服务 或 功能 。 这 些 服务 可 能 需要 网 络 完成 ， 也 可 能 只 需 
要 本 地 计算 机 完成 。 例 如 ， 有 些 用 户 服务 属于 局 部 应 用 ， 只 需 使 用 用 户 计算 机 和 外 围 设备 ， 而 
有 些 服务 则 需要 通过 网 络 由 工作 组 服务 器 或 大 型 机 提供 。 在 很 多 情况 下 ， 可 通过 其 他 备 选 方案 
来 满足 用 户 需 要 的 各 种 服务 。 

在 收集 用 户 需 求 的 过 程 中 需要 注意 与 用 户 的 交流 ， 网 络 设 计 者 应 将 技术 性 语言 转化 为 普通 
的 交流 性 语言 ， 并 且 将 用 户 描述 的 非 技术 性 需求 转换 为 特定 的 网 络 属性 要 求 。 

(2) 收集 需求 的 机 制 。 收 集 用 户 需求 的 机 制 主要 包括 与 用 户 群 的 交流 、 用 户 服务 和 需求 归 
档 3 个 方面 。 
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@ 与 用 户 群 交流 。 与 用 户 交流 是 指 与 特定 的 个 人 和 群体 进行 交流 。 在 交流 之 前 ， 需 要 先 
确定 这 个 组 织 的 关键 人 员 和 关键 群体 ， 再 实施 交流 。 在 整个 设计 和 实施 阶段 ， 应 始终 保持 与 关 
键 人 员 之 间 的 交流 ， 以 确保 网 络 工程 建设 不 偏离 用 户 需 求 。 

收集 用 户 需求 最 常用 的 方式 如 下 。 

。 ”观察 和 问卷 调查 。 

。 ”集中 访谈 。 

。 ”采访 关键 人 物 。 

@ 用 户 服 务 。 除 了 信息 化 程度 很 高 的 用 户 群 体外 ， 大 多 数 用 户 都 不 可 能 用 计算 机 的 行业 
术语 来 配合 设计 人 员 的 用 户 需 求 收集 。 设 计 人 员 不 仅 要 将 问题 转化 成 为 普通 的 业务 语言 ， 还 应 
从 用 户 反 馈 的 业务 语言 中 提炼 出 技术 内 容 ， 这 需要 设计 人 员 有 大 量 的 工程 经 验 和 需求 调查 
经 验 。 

@ 需求 归档 机 制 。 与 其 他 所 有 技术 性 工作 一 样 ， 必 须 将 网 络 分 析 和 设计 的 过 程 记录 下 来 。 
需求 文档 便于 保存 和 交流 ， 也 有 利于 以 后 说 明 需 求 和 网 络 性 能 的 对 应 关系 。 所 有 的 访谈 、 调 查 
问卷 等 最 好 能 由 用 户 代表 进行 签字 确认 ， 同 时 应 根据 这 些 原始 资料 整理 出 规范 的 需求 文档 。 

(3) 用 户 服务 表 。 用 户 服务 表 用 于 表示 收集 和 归档 的 需求 信息 ， 也 用 来 指导 管理 人 员 与 网 
络 用 户 进行 讨论 。 用 户 服务 表 是 需求 服务 人 员 自 行使 用 的 表格 ， 不 面向 用 户 ， 类 似 于 备忘录 ， 
在 收集 用 户 需 求 时 ， 应 利用 用 户 服务 表 随 时 纠正 信息 收集 工作 的 失误 和 偏差 。 用 户 服务 表 没 有 
固定 的 格式 ， 表 12-2 是 一 个 简单 的 例子 。 

















表 12-2 用 户 服务 表 
用 户 服 务 需 求 
地 点 
用 户 数 量 
今后 3 年 的 期 望 增长 速度 
信息 的 及 时 发 布 
可 靠 性 /可 用 性 
安全 性 
可 伸缩 性 
成 本 
响应 时 间 
其 他 


服务 或 需求 描述 




















3. 应 用 需求 
收集 应 用 需求 可 以 从 两 个 角度 出 发 ， 一 是 从 应 用 类 型 的 特性 出 发 ， 另 一 个 是 从 应 用 对 资源 
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访问 的 角度 出 发 。 从 以 上 两 种 角度 出 发 ， 可 以 有 下 面 的 分 类 。 

(1) 按 功 能 分 类 。 按 功能 对 应 用 进行 分 类 ， 可 以 将 应 用 划分 为 常见 功能 类 型 和 特定 功能 
类 型 。 

常见 功能 类 型 的 应 用 如 图 12-7 所 示 ， 这 些 应 用 类 型 中 的 大 多 数 都 是 日 常 工作 中 接触 较为 频 
繁 、 应 用 范围 较 广 的 。 
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专用 的 硬件 平台 和 操作 系统 























图 12-7 常见 功能 类 型 应 用 


特定 功能 软件 包括 控制 、 维 护 网 络 和 计算 机 系统 的 功能 ， 例 如 防 病毒 软件 和 网 络 管理 系统 
等 。 面 向 特定 工作 的 工具 软件 主要 是 行业 软件 ， 包 括 金 融 计划 系统 、 工 程 和 设计 系统 、 制 造 控 
制 系统 和 排版 工具 等 专业 软件 。 

对 应 用 需求 按 功 能 分 类 ， 依 据 不 同类 型 的 需求 特性 ， 可 以 很 快 归 纳 出 网 络 工程 中 应 用 对 网 
络 的 主体 需求 。 

(2) 按 共享 分 类 。 软 件 可 根据 其 在 网 络 中 的 用 户 数 进行 分 类 ， 分 别 为 单 用 户 软件 、 多 用 户 
软件 和 网 络 软件 。 单 用 户 软件 运行 时 只 有 一 个 用 户 可 以 访问 ， 只 能 访问 本 地 资源 。 虽 然 网 络 操 
作 系 统 允 许 通过 远程 方式 访问 单机 软件 ， 但 是 该 软件 在 运行 时 不 可 能 实现 资源 共享 。 多 用 户 软 
件 允 许多 个 用 户 同时 使 用 ， 并 且 提 供 了 用 户 间 共享 文件 的 机 制 。 多 用 户 软件 通过 分 时 、 线 程 切 
换 等 多 种 机 制 实现 多 个 用 户 并 发 访问 ， 通 过 文件 加 锁 机 制 实现 文件 共享 。 网 络 软件 利用 所 有 的 
网 络 资源 ， 既 可 以 集中 安装 在 一 台 服 务 器 上 ， 也 可 以 分 布 在 不 同 的 服务 器 上 ， 是 实现 共享 的 最 
佳 方式 ， 借 助 于 网 络 和 应 用 协议 来 完成 网 络 资源 的 共享 。 

(3) 按 响应 方式 分 类 。 应 用 可 以 分 为 实时 和 非 实 时 应 用 两 种 ， 不 同 响应 方式 具有 不 同 的 网 
络 响 应 性 能 需求 。 实 时 应 用 软件 在 收 到 信息 后 马上 处 理 , 一 般 不 需要 用 户 干 预 , 这 对 网 络 带宽 、 
网 络 延迟 等 提出 了 严格 的 要 求 。 在 实时 应 用 中 ， 通 常 本 地 进程 需要 和 远程 进程 保持 同步 ， 因 此 
实时 应 用 要 求 信息 传输 的 速率 稳定 ， 具 有 可 预测 性 。 非 实时 应 用 更 为 广泛 ， 非 实时 并 不 要 求 规 
定 的 同步 机 制 ， 只 是 要 求 一 旦 发 生 请 求 ， 则 需要 在 规定 的 时 限 内 完成 响应 ， 因 此 对 带宽 、 延 迟 
的 要 求 较 低 ， 但 是 对 网 络 设备 、 计 算 机 平台 的 缓冲 区 提出 了 较 高 的 要 求 。 

(4) 按 网 络 模型 分 类 。 应 用 按 网 络 处 理 模 型 可 以 分 为 单机 软件 、 对 等 网 络 软件 、C/S 软件 、 
B/S 软件 和 分 布 式 软件 等 。 单 机 软件 是 指 不 访问 网 络 资源 的 软件 。 对 等 网 络 软件 只 运行 于 因 特 
网 内 ， 不 区 分 服务 器 和 客户 端的 网 络 软件 。C/S 软件 是 指 在 网 络 中 区 分 出 服务 器 和 客户 端的 网 
络 软件 系统 。B/S 软件 是 指 划分 了 数据 库 服 务 器 、 应 用 服务 器 和 客户 端的 网 络 软件 系统 ，B/S 
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软件 是 三 层 模 式 、 多 层 模 式 的 典型 代表 。 分 布 式 软件 是 指 调度 网 络 中 的 多 个 资源 完成 一 个 任务 
的 网 络 软件 系统 。 应 用 采用 不 同 的 网 络 处 理 模型 ， 会 对 网 络 产生 不 同 的 需求 。 

(5) 按 对 资源 的 访问 分 类 。 用 户 对 应 用 系统 的 访问 要 求 是 网 络 设计 的 重要 依据 ， 网 络 工程 
必须 保证 用 户 可 以 非常 顺利 地 使 用 软件 并 获取 需要 的 数据 。 用 户 对 网 络 资源 的 访问 是 可 以 通过 
各 种 指标 进行 量化 的 ， 这 些 量化 的 指标 通过 统计 产生 ， 并 直接 反映 了 用 户 的 需求 。 需 要 考虑 的 
指标 包括 。 

。 每 个 应 用 的 用 户 数量 。 

。 每 个 用 户 平均 使 用 每 个 应 用 的 频率 。 

。 ”使 用 高 峰 期 。 

。 平均 访问 时 间 长 度 。 

。 每 个 事务 的 平均 大 小 。 

。 每 次 传输 的 平均 通信 量 。 

。 ”影响 通信 的 定向 特性 。 例 如 ， 在 一 个 C/S 软件 系统 中 ， 客 户 端 发 送 至 服务 器 端的 请 求 

数据 量 非 常 小 ， 但 是 服务 器 端 返回 的 数据 量 较 大 。 

(6) 其 他 需求 。 由 于 应 用 的 发 展 ， 用 户 数量 不 断 增长 ， 因 此 对 网 络 的 需求 也 会 随 之 变化 。 
在 获取 应 用 需求 时 ， 需 要 询问 用 户 对 应 用 发 展 的 要 求 。 

对 网 络 的 可 靠 性 和 可 用 性 ， 除 了 从 用 户 的 角度 获取 需求 之 外 ， 还 要 对 网 络 中 的 应 用 进行 分 
析 。 和 需求 收集 的 工作 要 点 在 于 找 出 组 织 中 重要 应 用 系统 的 特殊 可 靠 性 和 可 用 性 需求 ， 例 如 在 公 
交 公 司 的 企业 网 络 中 ， 对 公交 车 进行 调度 的 软件 ， 其 可 靠 性 和 可 用 性 需求 就 是 重点 。 

一 个 应 用 对 信息 更 新 的 需求 是 由 用 户 对 最 新 信息 的 需求 来 决定 的 , 但 是 用 户 对 信息 更 新 的 
要 求 并 不 等 同 于 应 用 对 数据 更 新 的 需求 。 应 用 软件 在 面 对 相同 的 信息 更 新 需求 时 ， 如 果 采 用 了 
不 同 的 数据 传输 、 存 储 技术 ， 则 会 产生 不 同 的 数据 更 新 需求 ， 而 网 络 设计 直接 面向 数据 更 新 
需求 。 

这 一 阶段 的 输出 是 应 用 需求 表 。 应 用 需求 表 概括 和 记录 了 应 用 需求 的 量化 指标 ， 通 过 这 些 
量化 指标 可 直接 指导 网 络 设计 。 表 12-3 为 一 个 典型 的 应 用 需求 表示 例 ， 可 根据 实际 需要 进行 
调整 。 





表 12-3 应 用 需求 表 


用 户 名 
〈 应 用 程序 名 ) 








国 so 若 。 网 络 工程 师 教程 (第 5 版 ) 


4. 计算 机 平台 需求 


收集 计算 机 平台 需求 是 网 络 分 析 与 设计 过 程 中 一 个 不 可 缺少 的 步骤 ， 需 要 调查 的 计算 机 
台 主 要 分 为 个 人 计算 机 、 工 作 站 、 小 型 机 、 中 型 机 和 大 型 机 5 类 。 

(1) 个 人 计算 机 。 由 于 个 人 计算 机 是 网 络 中 分 布 最 广 、 数 量 最 多 的 节点 ， 虽 然 技术 含量 较 
低 ， 但 是 应 该 重点 分 析 。 在 分 析 个 人 计算 机 需求 时 ， 应 该 考虑 微 处 理 器 、 内 存 、 输 入 /输出 、 操 
作 系 统 以 及 网 络 配置 等 。 

在 设计 网 络 时 ， 用 户 会 针对 PC 服务 器 提出 最 直接 的 需求 ， 需 求 收集 人 员 应 根据 需要 进行 
各 类 因素 的 技术 指标 设计 ， 在 设计 工作 的 后 期 形成 设备 的 招 投标 技术 参数 。 

(2) 工作 站 。 工 作 站 是 面向 专业 应 用 领域 ， 具 备 强大 的 数据 运算 与 图 形 、 图 像 处 理 能 力 
为 满足 工程 设计 、 动 画 制 作 、 科 学 研究 、 软 件 开 发 、 金 融 管理 、 信 息 服务 和 模拟 仿真 等 专业 领 
域 而 设计 开发 的 高 性 能 终端 计算 机 。 典 型 的 工作 站 包括 一 个 32 位 高 速 微 处 理 器 、64 位 浮 点 处 
理 单元 、UNIX 操作 系统 /XX Windows 图 形 用 户 界面 、 加 速 图 形 控制 器 、17 一 19 英寸 彩色 显示 器 
和 内 置 的 以 太 网 联网 功能 。 

(3) 小 型 机 。 小 型 机 具有 区 别 于 PC 和 服务 器 的 特有 体系 结构 ， 同 时 应 用 了 各 制造 厂家 自 
己 的 专利 技术 ， 有 的 还 采用 小 型 机 专用 处 理 器 。 例 如 ， 美 国 Sun、 日 本 Fujitsu (富士 通 ) 等 公 
司 的 小 型 机 是 基于 SPARC 处 理 器 架构 的 ， 美 国 HP 公司 的 小 型 机 是 基于 PA-RISC 架构 的 。 小 
型 机 的 IO 总 线 也 不 同 于 一 般 的 个 人 计算 机 ， 例 如 Fujitsu 是 PCI，Sun 是 SBUS。 这 意味 着 各 
公司 小 型 机 上 的 插 卡 ， 如 网 卡 、 显 示 卡 和 SCSI 卡 等 可 能 也 是 专用 的 。 小 型 机 使 用 的 操作 系统 
一 般 是 基于 UNIX 内 核 的 专用 产品 ，Sun、Fujitsu 使 用 的 操作 系统 是 Sun Solaris，HP 小 型 机 使 
用 HP-UX，IBM 小 型 机 使 用 的 是 AIX。 

小 型 机 是 封闭 的 专用 计算 机 系统 ,使 用 小 型 机 的 用 户 一 般 是 看 中 UNIX 操 作 系 统 的 安全 性 、 
可 靠 性 和 专用 服务 器 的 高 速 运算 能 力 。 在 网 络 工程 中 ， 如 果 用 户 对 应 用 提出 了 较为 苛刻 的 安全 
性 、 可 靠 性 和 专用 性 的 要 求 ， 则 可 以 考虑 采用 小 型 机 作为 应 用 的 服务 器 。 

(4) 中 型 机 。 在 当前 的 网 络 工程 中 已 经 不 再 严格 划分 中 型 机 和 小 型 机 ， 更 多 情况 下 ， 中 型 
机 相当 于 小 型 机 中 的 高 档 产 品 。 在 大 多 数 厂商 的 非 X86 服务 器 产品 中 , 一 般 会 存在 着 多 种 系列 ， 
最 常见 的 产品 划分 方式 为 部 门 级 服务 器 、 企 业 级 服务 器 和 电信 级 服务 器 。 在 大 多 数 情况 下 ， 可 
以 将 部 门 级 、 企 业 级 服务 器 等 同 于 小 型 机 ， 而 将 电信 级 服务 器 等 同 于 中 型 机 。 

(5) 大 型 机 。 大 型 机 和 相关 的 客户 端 一 服务 器 产品 可 以 管理 大 型 网 络 ， 存 储 大 量 重 要 数据 
以 及 驱动 数据 并 保证 其 数据 的 完整 性 。 大 型 机 系统 具有 较 高 的 可 用 率 、 高 带宽 的 输入 /输出 设备 、 
严格 的 数据 备份 和 恢复 机 制 、 高 水 平 的 数据 集成 和 安全 性 能 。 大 型 机 由 CPU、 主 存 操作 员 控 制 
台 、LO 通道 、 通 信 控 制 器 、 磁 盘 控 制 器 、 存 储 控制 器 、 磁 带子 系统 、 显 示 器 和 打印 机 等 组 件 
构成 ， 具 有 物理 尺寸 大 、 系 统 容量 大 、 运 行 速度 高 、 容 错 能 力 强 、 系 统 安 全 性 高 、 事 务 处 理 能 
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力 强 的 特点 。 

大 型 机 目前 仍然 在 金融 行业 、 记 账 系统 、 订 单 处 理 系 统 、 大 型 因特网 应 用 、 复杂 数 据 处 理 、 
联机 交易 系统 和 科学 计算 等 领域 发 挥 作用 ， 但 是 随 着 计算 机 小 型 化 的 发 展 ， 大 型 机 将 逐步 退出 
应 用 市 场 。 在 网 络 设计 中 ， 只 有 全 国 、 全 行业 级 的 应 用 中 才 会 出 现 大 型 机 的 应 用 需求 。 

这 一 阶段 的 输出 是 计算 机 平台 需求 表 。 计 算 机 平台 需求 表 是 总 结 用 户 对 计算 机 平台 需求 的 
表格 ， 通 过 对 该 表格 的 填写 ， 为 后 期 的 计算 机 平台 参数 指标 确定 工作 奠定 基础 。 


5. 网 络 需求 


需求 分 析 的 最 后 工作 是 考虑 网 络 管理 员 的 需求 ， 这 些 需 求 包括 以 下 内 容 。 

1) 局 域 网 功能 

传统 局 域 网 络 由 二 层 交换 机 构成 局 域 网 骨干 ， 整 个 网 络 是 一 个 广播 域 。 在 这 样 的 网 络 中 ， 
网 段 由 交换 机 的 一 个 端口 下 连 的 共享 设备 形成 ， 网 段 内 部 用 户 之 间 的 通信 不 需要 通过 交换 设 
备 ， 而 段 间 通 信和 需要 通过 交换 设备 进行 存储 转发 。 

现代 局 域 网 由 三 层 交 换 设备 构成 局 域 网 骨干 ， 这 种 网 络 中 存在 多 个 广播 域 ， 其 实 就 是 多 个 
小 型 局 域 网 ， 这 些小 型 局 域 网 通过 三 层 设备 的 路 由 交换 功能 互 连 。 在 这 种 局 域 网 络 中 ， 网 段 的 
概念 发 生 了 变化 ， 其 实 就 是 一 个 独立 的 广播 域 ， 一 个 典型 的 VLAN。 

无 论 是 哪 种 网 段 ， 都 是 计算 机 节点 的 一 种 划分 方式 , 但 是 基于 三 层 交 换 技术 的 网 段 划分 方 
式 逐 渐 成 为 主流 。 一 般 情况 下 ， 局 域 网 段 和 用 户 群 的 分 布 是 一 致 的 ， 但 是 也 存在 一 定 的 差异 ， 
允许 一 个 网 段 内 部 存在 多 个 用 户 群 ， 也 允许 一 个 用 户 群 占据 多 个 网 段 。 

对 于 升级 的 网 络 ， 可 以 对 现 有 网 段 划 分 方式 进行 改进 ， 形 成 新 的 划分 方案 。 对 于 新 建 的 网 
络 ， 要 和 网 络 管理 员 一 起 商量 网 段 划 分 的 方式 。 最 终 都 应 形成 的 网 段 分 布 需 求 就 是 用 户 群 和 网 
段 的 关系 需求 。 

局 域 网 段 的 分 布 主要 依据 业务 上 的 特殊 要 求 ， 这 会 导致 不 同 的 网 段 存在 不 同 的 功能 要 求 。 
在 进行 网 络 需求 收集 时 , 应 该 找到 各 网 段 所 需要 的 功能 清单 , 并 明确 各 个 网 段 中 功能 的 重要 性 。 

局 域 网 的 负载 是 和 应 用 有 关联 的 , 根据 局 域 网 络 的 功能 需求 , 可 以 分 析出 局 域 网 络 的 负载 。 
在 进行 网 络 负载 分 析 时 ， 要 针对 各 种 应 用 和 功能 服务 评估 服务 的 平均 业务 量 或 文件 传输 的 大 
小 ， 同 时 估算 用 户 的 访问 频率 ， 经 过 简单 计算 就 可 以 估算 出 网 络 的 负载 。 

对 于 升级 的 网 络 ， 可 以 对 现 有 网 络 通过 各 种 测试 工具 来 获取 网 络 流量 分 析 ， 从 而 获取 当前 
网 络 的 负载 ， 作 为 升级 后 网 络 负载 的 参照 。 

对 于 非 专用 设计 标准 ， 根 据 经 验 或 简单 的 方法 就 可 以 进行 评估 。 对 于 较为 复杂 、 要 求 较 高 
的 网 络 ， 对 各 种 服务 的 平均 业务 量 、 文 件 传输 的 大 小 、 用 户 访问 的 频率 ， 都 应 根据 实际 测试 的 
值 来 进行 局 域 网 负载 的 计算 。 
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2) 网 络 性 能 

针对 网 络 的 性 能 需求 ， 主 要 考虑 的 是 网 络 容量 和 响应 时 间 。 这 里 的 网 络 容量 和 响应 时 间 并 
不 是 来 自 于 复杂 的 网 络 分 析 ， 而 是 直接 来 自 于 网 络 管理 人 员 的 要 求 。 在 有 些 网 络 工程 中 ， 网 络 
管理 人 员 提 出 的 网 络 容量 和 响应 时 间 要 高 于 用 户 和 应 用 的 需求 。 

3) 有 效 性 需求 

有 效 性 需求 指 的 是 在 进行 网 络 建设 策略 的 选择 时 产生 的 各 种 过 滤 条 件 。 有 效 性 条 件 没有 固 
定 的 模式 ， 通 常 要 对 局 域 网 的 拓扑 结构 、 网 络 设备 、 服 务 器 主机 、 存 储 设 备 、 安 全 设备 、 机 房 
设备 和 产品 供应 商 等 设 定 一 些 选择 标准 或 过 滤 条 件 ， 不 符合 过 滤 条 件 的 设备 或 设备 供应 商 被 排 
除 在 选项 之 外 。 

在 网 络 设计 工作 中 ， 这 些 琐 碎 的 选择 条 件 对 设计 工作 的 影响 是 非常 大 的 ， 很 多 项 目 就 是 因 
为 在 需求 调查 工作 中 没有 注意 有 效 性 条 件 的 收集 而 导致 了 最 后 失败 。 

4) 数据 备份 和 容 灾 需 求 

数据 备份 和 容 灾 需 求 是 网 络 工程 中 的 重点 内 容 。 对 于 一 些 特定 行业 来 说 ， 数 据 是 至 关 重 要 
的 ， 数 据 一 旦 丢失 ， 将 会 造成 不 可 挽回 的 损失 。 根 据 不 同 的 网 络 工程 规模 存在 两 种 建设 情况 
一 种 是 需要 建设 复杂 的 数据 中 心 和 容 灾 备 份 中 心 ， 另 外 一 种 是 仅 建立 数据 备份 和 容 灾 机 制 。 

数据 中 心 建设 需要 收集 的 需求 如 下 。 

。 链 路 和 带宽 需求 。 

。 接 入 设备 需求 。 

。 互联 协议 需求 。 

。 数据 中 心 局 域 网 划分 需求 。 

。 数据 中 心 设备 需求 。 

。 数据库 平 台 需 求 。 

。 ”安全 设备 需求 。 

。 机房 及 电源 需求 。 

。 ”数据 中 心 托管 及 服务 需求 。 

。 ”数据 资源 建设 规划 需求 。 

。 数据 备份 管理 机 制 需求 。 

容 灾 备份 中 心 的 需求 内 容 和 数据 中 心 基本 一 致 ， 但 是 建设 内 容 稍 有 差异 。 在 数据 中 心 和 容 
灾 备份 中 心 之 间 关 键 的 是 容 灾 方式 。 容 灾 方 式 分 为 数据 级 容 灾 和 应 用 级 容 灾 ， 容 灾 方 式 存在 国 
际 标准 ， 应 正确 引导 网 络 管理 人 员 ， 达 成 数据 中 心 、 容 灾 备 份 中 心 、 容 灾 方 式 建设 需求 的 一 致 
性 标准 。 

相对 于 建设 复杂 的 数据 中 心 和 容 灾 备份 中 心 这 样 庞大 的 工程 ,建立 简单 有 效 的 数据 备份 和 
容 灾 机 制 针对 小 型 网 络 是 合适 并 有 效 的 。 正 确 备份 信息 在 网 络 恢复 信息 时 显得 尤为 重要 ， 必 须 
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制订 很 好 的 防御 和 恢复 策略 , 必须 执行 严格 的 备份 过 程 和 存档 处 理 。 在 选择 备份 方针 和 技术 时 ， 
必须 对 整个 组 织 的 风险 做 一 下 评估 ， 确 定 各 种 数据 的 相对 重要 性 。 制 订 的 恢复 方案 至 少 应 该 包 
括 以 下 内 容 。 
。 选择 媒体 以 供 备份 ， 包 括 磁盘 阵列 或 者 磁带 库 。 
。 ”保护 现场 数据 。 
。 保护 现场 外 的 备份 数据 。 
。 制定 数据 应 急 预 案 。 
5) 网 络 管理 需求 
网 络 管理 人 员 的 管理 思路 、 产 品 喜好 、 管 理 要求 是 决定 网 络 管理 平台 的 关键 ， 由 于 网 络 管 
理 是 网 络 工程 中 较为 复杂 、 牵 涉 面 较 广 的 建设 内 容 ， 需 要 与 网 络 管理 人 员 重 点 进行 交流 ， 获 取 
明确 的 管理 需求 。 网 络 管理 建设 要 从 以 下 方面 进行 调查 。 
。 明确 网 络 管理 的 目的 。 企 业 网 络 管理 的 主要 目的 是 提高 网 络 可 用 性 、 改 进 网 络 性 能 、 
减少 和 控制 网 络 费用 以 及 增强 网 络 安全 性 等 ， 网 管 员 可 以 根据 自身 需要 进行 补充 与 调整 。 
。 掌握 网 络 管理 的 要 素 。 网 络 管理 平台 的 建设 要 注意 与 业务 需求 结合 ， 建 立 完整 而 理想 
的 网 络 管理 解决 方案 应 该 根据 应 用 环境 和 业务 流程 以 及 用 户 需求 的 端 到 端 关 联 来 管理 
网 络 及 其 所 有 设备 。 
。 明晰 管理 的 网 络 资源 。 网 络 资源 就 是 指 网 络 中 的 硬件 设备 、 网 络 环境 中 运行 的 软件 以 
及 所 提供 的 服务 等 ， 网 络 管理 员 必 须 明 确 需 要 管理 的 网 络 资源 。 
。 注重 软件 资源 管理 和 软件 分 发 。 网 络 管理 系统 的 软件 资源 管理 和 软件 分 发 功能 是 指 优 
化 管理 信息 的 收集 。 软 件 资源 管理 是 对 企业 所 拥有 的 软件 授权 数量 和 安装 地 点 进行 管 
理 ， 软 件 分 发 则 是 通过 网 络 把 新 软件 分 发 到 各 个 站 点 ， 并 完成 安装 和 配置 工作 。 这 些 
特定 的 需求 必须 让 管理 员 明 确 。 
。 应 用 管理 不 容 忽视 。 应 用 管理 用 于 测量 和 监督 特定 的 应 用 软件 及 其 对 网 络 传输 流量 的 
影响 。 网 络 管理 员 通 过 应 用 管理 可 以 跟踪 网 络 用 户 和 运行 的 应 用 软件 ， 改 善 网 络 的 响 
应 时 间 。 网 络 管理 人 员 应 明确 在 应 用 管理 方面 的 需求 。 
选择 网 管 软件 要 根据 网 管 人 员 的 产品 喜好 ， 同 时 也 要 明确 对 网 管 软件 的 要 求 。 
。 企业 需要 哪些 管理 功能 。 网 管 软件 都 是 价格 不 菲 的 ， 所 以 在 为 企业 选择 网 管 软件 时 一 
定 要 考虑 目前 与 未 来 企业 网 络 环境 发 展 的 需要 。 一 个 好 的 网 络 管理 系统 必须 适合 企业 
业务 发 展 的 需要 。 
。 网 络 管理 软件 支持 哪些 标准 。 网 管 人 员 需 要 明确 产品 对 网 管 协议 支持 的 程度 ， 尤 其 是 
SNMP 和 RMON 协议 ， 需 要 明确 到 协议 的 版 本 和 关键 细节 。 
。 支持 各 种 硬件 、 软 件 的 范围 。 不 同 网 管 软件 对 不 同 产品 的 支撑 是 不 一 样 的 ， 管 理 人 员 
需要 明确 什么 样 的 硬件 、 软 件 纳入 网 络 管理 范畴 才能 设 定 符合 要 求 的 产品 范围 。 
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。 可 管理 性 。 可 管理 性 是 由 于 网 管 需求 对 被 管理 设备 提出 的 需求 ， 可 管理 性 要 求 是 指 设 
备 对 协议 、 管 理 信息 库 、 图 形 库 等 各 方面 的 支持 ， 也 属于 网 管 平台 的 需求 。 
6) 网 络 安全 需求 
网 络 安全 体系 是 建设 网 络 工程 的 重要 内 容 之 一 ， 不 管 网 络 工程 规模 如 何 ， 都 应 该 存在 一 个 
可 扩展 的 总 体 安 全 体系 框架 。 对 于 不 同 的 网 络 工程 项 目 , 允许 建设 不 同 的 安全 体系 框架 。 图 12-8 
是 一 个 可 行 的 安全 体系 框架 ， 设 计 人 员 在 进行 网 络 安全 需求 收集 时 可 以 依据 这 个 框架 进行 安全 
需求 的 调查 。 





洪 阅 冰 通 奖 汪 
冷落 是 准 虹 第 泽 














安全 管理 体系 





图 12-8 ”安全 体系 框架 的 示例 

在 图 12-8 所 示 的 安全 体系 框架 中 ,安全 管理 体系 是 整个 安全 架构 的 基础 ,使 安全 问题 可 控 
可 管 。 安 全 技术 措施 包括 机 房 及 物理 线路 安全 、 网 络 安 全 、 系 统 安 全 、 应 用 安全 、 安 全 信任 体 
系 等 。 以 容 灾 和 恢复 为 目标 的 后 备 保障 措施 用 来 对 付 重 大 灾难 性 事件 后 的 网 络 重建 ， 以 安全 运 
行 维护 支持 服务 作为 外 部 支撑 条 件 ， 使 安全 问题 能 够 及 时 有 效 地 解决 。 

基于 以 上 框架 ， 设 计 人 员 应 该 协助 网 络 管理 人 员 对 安全 管理 体系 、 运 营 服务 体系 、 数 据 
容 灾 与 恢复 、 安 全 信任 体系 等 方面 的 需求 进行 确定 。 同 时 , 对 于 技术 措施 需求 , 可 以 借鉴 表 12-4 
的 内 容 进 行 明确 。 

表 12-4 技术 措施 需求 表 
技术 措施 层次 需求 项 目 需求 项 目 需求 项 目 需求 项 目 


机 房 及 物理 线 局 计算 机 通信 线路 | ,ww 和 人 主要 设备 的 防 雷 击 
路 安全 需求 机 房 安全 he 骨干 线路 见 余 防护 措施 


区 域 边界 安全 策略 





安全 
E 安全 区 域 划 分 安全 区 域 级 别 区 域内 部 安全 策略 
rn 
交合 需 玉 | 如 让 设备 安全 入 侵 检 测 
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续 表 








技术 措施 层次 需求 项 目 需求 项 目 

















,A | 抗 Dpos VPN 流量 管理 | 网 络 监 控 与 审计 
四 | 网 络 监控 与 审计 | 访问 控制 | 
| 身份 认证 账户 管理 主机 系统 配置 管理 “| 漏洞 发 现 与 补丁 管理 
系统 安全 需求 “| 内核 加 固 病毒 防护 桌面 安全 管理 | 系统 备份 与 恢复 








系统 监控 与 审计 | 访问 控制 
数据 库 安全 邮件 服务 安全 Web 服务 安全 


7) 城 域 网 /广域网 的 选择 

对 于 一 般 的 网 络 工程 来 说 ， 城 域 网 和 广域网 用 于 连接 局 域 网 ， 并 形成 完整 的 企业 网 络 。 城 
域 网 /广域网 通过 连接 设备 和 通信 线路 实现 各 远程 局 域 网 络 之 间 的 互 连 。 城 域 网 /广域网 可 供 选 
用 的 连接 方案 有 以 下 两 种 : 

。 点 对 点 线路 交换 服务 (拨号 线路 或 租用 线路 )。 

。 分 组 交换 服务 。 

在 点 对 点 线路 交换 服务 方式 中 存在 局 域 网 路 由 设备 和 线路 交换 设备 两 类 设备 ， 这 些 设备 之 
间 通 过 物理 线路 互 连 ， 在 路 由 设备 之 间 建 立 的 是 虚拟 电路 ， 数 据 分 组 仅 在 路 由 设备 上 进行 封装 
和 解 封 ， 在 线路 交换 设备 上 以 数据 帧 或 信号 的 方式 进行 传递 。 在 分 组 交换 方式 中 ， 路 由 器 和 分 
组 交换 设备 之 间 通 过 分 组 交换 协议 互 连 ， 数 据 分 组 在 路 由 设备 、 分 组 交换 设备 上 都 存在 封装 和 
解 封 。 所 以 ， 在 点 对 点 线路 交换 方式 中 ， 相 当 于 两 台 局 域 网 路 由 器 通过 虚拟 电路 直接 互 连 ， 而 
在 分 组 交换 方式 中 ， 两 台 局 域 网 路 由 器 之 间 存 在 由 多 个 路 由 设备 构成 的 分 组 网 络 。 


12.3.2 ”编制 需求 说 明 书 


通过 需求 收集 工作 ， 网 络 设计 人 员 获 取 了 大 量 的 需求 信息 ， 这 些 信 息 由 各 种 独立 的 表格 、 
散乱 的 文字 以 及 部 分 统计 数据 构成 ， 这 些 需 求 信息 应 整合 形成 正式 的 需求 说 明 书 ， 以 便于 后 期 
设计 、 实 施 、 维 护 工作 的 开展 。 

需求 说 明 书 是 网 络 设计 过 程 中 第 一 个 正式 的 可 以 传阅 的 重要 文件 ， 其 目的 在 于 对 收集 到 的 
需求 信息 做 清晰 的 概括 整理 ， 这 也 是 用 户 管理 层 将 正式 批阅 的 第 一 个 文件 。 

数据 准备 工作 是 开始 需求 说 明 书 编制 的 前 期 工作 ， 主 要 由 两 个 步骤 构成 : 第 一 步 是 要 将 原 
始 数据 制 成 表 ， 从 各 个 表 看 其 内 在 的 联系 及 模式 ;第 二 步 是 要 把 大 量 的 手写 调查 问卷 或 表格 信 
息 转 换 成 电子 表格 或 数据 库 ， 由 于 输入 的 工作 量 较 大 ， 可 以 求助 于 用 户 单位 或 雇用 临时 工 。 

另外 ， 对 于 需求 收集 阶段 产生 的 各 种 资料 ， 包 括 手册 、 报 表 和 原始 单据 等 ， 无 论 其 介质 是 
纸 质 的 还 是 电子 的 ， 都 应 该 编辑 目录 并 归档 ， 以 便于 后 期 查阅 。 





应 用 安全 需求 应 用 系统 定制 安全 
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编写 需求 说 明 书 的 目的 是 为 了 能 够 向 管理 人 员 提 供 决策 用 的 信息 ,因此 说 明 书 应 该 能 做 到 
尽量 简明 且 信 息 充分 ， 以 节省 管理 人 员 的 时 间 。 

网 络 需 求 说 明 书 不 存在 国际 或 国家 标准 ， 即 使 存在 一 些 行业 标准 ， 也 只 是 规定 了 需求 说 明 
的 大 致 内 容 要 求 。 这 主要 是 由 于 网 络 工程 需求 涉及 的 内 容 较 广 、 个 性 化 较 强 ， 而 且 不 同 的 设计 
队伍 对 需求 的 组 织 形式 也 不 一 样 。 

对 网 络 需 求 说 明 书 存在 两 点 要 求 : 首先 ， 无 论 需求 说 明 书 的 组 织 形式 如 何 ， 网 络 需求 说 明 
书 应 包含 业务 、 用 户 、 应 用 、 计 算 机 平台 和 网 络 5 个 方面 的 需求 内 容 ， 其 次 ， 为 了 规范 需求 说 
明 书 的 编制 ， 一 般 情况 下 ， 需 求 说 明 书 应 该 包括 以 下 5 个 部 分 。 


1. 综述 


需求 说 明 书 的 第 一 部 分 内 容 是 综述 ， 即 对 网 络 工程 项 目的 主要 内 容 、 重 要 性 等 进行 一 个 简 
单 的 描述 。 综 述 应 包括 的 内 容 如 下 。 

(1) 对 项 目的 简单 概述 。 

(2) 设计 过 程 中 各 个 阶段 的 清单 。 

(3) 项 目 各 个 阶段 的 状态 ， 包 括 已 完成 的 阶段 和 现在 正 进行 的 阶段 。 


2. 需求 分 析 阶 段 总 结 


需求 分 析 阶 段 总 结 主要 是 总 结 需 求 分 析 阶 段 的 工作 ， 总 结 内 容 如 下 。 
(1) 接触 过 的 群体 和 代表 人 名 单 。 

(2) 标明 收集 信息 的 方法 (访谈 、 集 中 访谈 和 调查 等 )。 

(3) 访谈 、 调 查 总 次 数 。 

(4) 取得 的 原始 资料 数量 (调查 问卷 、 报 表 等 )。 

(5) 在 调查 工作 中 遇 到 的 各 种 困难 等 。 


3. 需求 数据 总 结 


对 需求 调查 中 获取 的 数据 需要 认真 总 结 归纳 出 信息 ， 并 通过 多 种 形式 进行 展现 。 在 对 需求 
数据 进行 总 结 时 ， 应 注意 以 下 几 点 。 

(1) 简单 直接 。 提 供 的 总 结 信息 应 该 简单 易 懂 ， 并 且 将 重点 放 在 信息 的 整体 框架 上 ， 而 不 
是 具体 的 需求 细节 。 另 外 ， 为 了 方便 用 户 进行 阅读 ， 应 尽量 使 用 用 户 的 行业 术语 ， 而 不 是 技术 
术语 。 

(2) 说 明 来 源 和 优先 级 。 对 于 需求 ， 要 按照 业务 、 用 户 、 应 用 、 计 算 机 平台 和 网 络 等 进行 
分 类 ， 并 明确 各 类 需求 的 具体 来 源 〈 例 如 人 员 、 政 策 等 )。 

(3) 尽量 多 用 图 片 。 图 片 的 使 用 可 以 使 读者 更 容易 了 解数 据 模式 ， 在 需求 数据 总 结 中 大 量 
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地 使 用 图 片 ， 尤 其 是 数据 表格 的 图 形 化 展示 ， 是 非常 有 必要 的 。 

(4) 指出 矛盾 的 需求 。 在 需求 中 会 存在 一 些 矛 盾 ， 需 求 说 明 书 中 应 对 这 些 矛 盾 进行 说 明 ， 
以 使 设计 人 员 找 到 解决 方法 。 同 时 ， 如 果 用 户 人 员 给 出 了 矛盾 中 目标 的 优先 级 别 ， 则 需要 特殊 
标记 ， 以 便 在 无 法 避免 矛盾 的 时 候 先 实现 高 级 别 的 目标 。 

4. 按 优先 级 排队 的 需求 清单 

对 需求 数据 进行 整理 总 结 之 后 ， 按 照 需求 数据 的 重要 性 列 出 数据 的 优先 级 别 清单 。 

S. 申请 批准 部 分 


在 编写 需求 说 明 书 时 ， 需 要 预 留 大 量 对 需求 进行 确认 或 者 申请 批准 的 内 容 ， 确 切 地 说 ， 就 
是 要 预 留 大 量 用 户 管理 人 员 签 字 的 空间 。 由 于 需求 说 明 书 是 开展 后 期 设计 工作 的 基础 ， 必 须 避 
免 用 户 需 求 和 收集 材料 的 不 一 致 性 ， 因 此 预 留 申请 批准 部 分 是 必需 的 。 
于 需求 经 常 发 生变 化 ， 因 此 在 编写 需求 说 明 书 的 时 候 也 要 考虑 到 怎样 设计 修改 说 明 书 。 
如 果 的 确 需要 修改 ， 最 好 不 要 改变 原来 的 数据 和 信息 ， 可 以 考虑 在 需求 说 明 书 中 附加 一 部 分 内 
容 说 明 修改 的 原因 ， 解 释 管理 层 的 决定 ， 然 后 给 出 最 终 的 需求 说 明 。 


12.4 ”通信 流量 分 析 














通信 规范 分 析 最 终 的 目标 是 产生 通信 流量 , 其 中 必要 的 工作 是 分 析 网 络 中 信息 流量 的 分 布 
问题 。 在 整个 过 程 中 ， 需 要 依据 需求 分 析 的 结果 产生 单个 信息 流量 的 大 小 ， 依 据 通信 模式 、 通 
信 边 界 的 分 析 ， 明 确 不 同 信息 流 在 网 络 不 同 区 域 、 边 界 的 
分 布 ， 从 而 获得 区 域 、 边 界 上 的 总 信息 流量 。 


12.4.1 通信 流量 分 析 的 方法 


对 于 部 分 较为 简单 的 网 络 , 不 需要 进行 复杂 的 通信 流 
量 分 布 分 析 ， 仅 采用 一 些 简单 的 方法 ， 例 如 80/20 规则 、 
20/80 规则 等 。 但 是 对 于 复杂 的 网 络 ， 仍 必须 进行 复杂 的 
通信 流量 分 布 分 析 。 

80/20 规则 是 传统 网 络 中 广泛 应 用 的 一 般 规则 。80/20 
规则 基于 这 样 的 可 能 性 :通信 流量 的 80% 在 某 个 网 段 中 流 
动 ， 只 有 20% 的 通信 流量 访问 其 他 网 段 ， 如 图 12-9 所 示 。 

利用 80/20 规则 进行 通信 流量 分 布 ， 对 一 个 网 段 内 部 
的 通信 流量 不 进行 严格 的 分 析 , 仅仅 是 根据 用 户 和 应 用 需 





图 12-9 ”80/20 规则 
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求 进 行 统计 ， 产 生 网 段 内 的 通信 和 总 量 大 小 ， 认 为 总 量 的 80% 是 在 网 段 内 部 ， 而 20% 是 对 网 段 外 
部 的 流量 。 

80/20 规则 不 仅仅 是 一 种 设计 思路 ， 也 是 一 种 特殊 的 优化 方法 ， 通 过 这 种 方式 可 以 限制 用 
户 的 不 合理 需求 ， 是 最 优化 地 使 用 网 络 骨 干 和 使 用 昂贵 的 广域网 连接 的 一 种 行 之 有 效 的 方法 。 
例如 ， 如 果 核 心 交换 机 的 容量 为 100Mbps， 局 域 网 至 外 部 的 带宽 应 限制 在 20Mbps 以 内 。 

80/20 规则 适用 于 内 部 交流 较 多 、 外 部 访问 相对 较 少 、 网 络 较 为 简单 、 不 存在 特殊 应 用 的 
网 络 或 网 段 。 

随 着 因特网 络 的 发 展 , 一 些 特殊 的 网 络 不 断 产生 , 例如 小 区 内 计算 机 用 户 形成 的 局 域 网 络 、 
大 型 公司 用 于 实现 远程 协同 工作 的 工作 组 网 络 等 。 这 些 网 络 的 特征 是 网 段 的 内 部 用 户 之 间 相 互 
访问 较 少 ， 大 多 数 对 网 络 的 访问 都 是 对 网 段 外 的 资源 进行 访问 。 对 于 这 些 流量 分 布 恰好 位 于 另 
一 个 极端 的 网 络 或 网 段 ， 则 可 以 采用 20/80 规则 。 

利用 20/80 规则 进行 通信 流量 分 布 的 设计 要 根据 用 户 和 应 用 需求 的 统计 产生 网 段 内 的 通信 
总 量 大 小 ， 认 为 总 量 的 20% 是 网 段 内 部 的 流量 ， 而 80% 是 网 段 外 部 的 流量 。 

这 是 一 些 简 单 的 规则 ， 但 是 这 些 规则 是 建立 在 大 量 的 工程 经 验 基 础 上 的 ， 通 过 这 些 规 则 的 
应 用 ， 可 以 很 快 完成 一 个 复杂 网 络 中 大 多 数 网 段 的 通信 流量 分 析 工 作 ， 可 以 合理 地 减少 大 型 网 
络 中 的 设计 工作 量 。 


12.4.2 ”通信 流量 分 析 的 步 又 


对 于 复杂 的 网 络 ， 需 要 进行 复杂 的 通信 流量 分 析 。 通 信 流 量 分 析 从 对 本 地 网 段 上 和 通过 网 
络 骨 干 某 个 特定 部 分 的 通信 量 进行 估算 开始 ， 可 采用 以 下 步骤 。 


1. 把 网 络 分 成 易 管理 的 网 段 


在 通信 量 分 析 的 过 程 中 ,首要 任务 是 依据 需求 阶段 得 到 的 网 络 分 段 需 求 和 工程 经 验 将 网 络 
工程 划分 成 若干 个 物理 或 者 四 辑 网 段 ， 并 进行 编号 ， 同 时 选择 适当 的 广域网 拓扑 结构 ， 最 终 形 
成 相应 的 各 类 网 络 边界 。 然 后 从 估算 每 个 网 段 的 通信 模式 和 通信 容量 开始 ， 分 析 这 些 部 分 之 间 
的 信息 流动 方式 ， 最 后 才 产 生 通 信 流 量 。 

网 段 划分 要 考虑 用 户 的 需求 。 对 于 升级 的 网 络 ， 可 以 对 现 有 网 段 划分 方式 进行 改进 ， 形 成 
新 的 划分 方案 。 对 于 新 建 网 络 ， 则 是 和 网 络 管理 员 一 起 商量 网 段 划 分 方式 。 一 般 情况 是 按照 工 
作 组 或 部 门 来 划分 网 段 ， 因 为 相同 工作 组 或 部 门 中 的 用 户 通常 使 用 相同 的 应 用 程序 ， 并 且 具 有 
相同 的 基本 需求 。 

由 于 网 段 属于 局 域 网 络 范畴 ， 在 进行 分 析 工 作 前 ， 需 要 确定 网 段 的 局 域 网 通信 边界 。 如 果 
网 段 的 通信 边界 是 物理 边界 ， 则 这 个 网 段 需要 独立 地 进行 分 析 。 如 果 多 个 网 段 的 通信 边界 是 风 
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辑 边 界 ， 则 这 些 网 段 不 需要 独立 地 进行 分 析 ， 而 是 作为 一 个 整体 网 段 进 行 分 析 。 

无 论 是 物理 网 段 分 析 ， 还 是 多 个 虚拟 网 段 构成 的 整体 网 段 分 析 ， 都 可 以 采用 局 部 分 析 法 。 
局 部 分 析 法 的 实质 在 于 只 关注 于 一 个 网 段 ， 并 将 该 网 段 边 界外 的 其 他 部 分 内 容 等 同 于 一 个 外 部 
网 络 来 进行 分 析 。 

图 12-10 是 一 个 较为 复杂 的 网 络 ， 其 中 ， 路 由 器 A 是 一 个 局 域 网 的 物理 边界 ， 路 由 器 C 连 
接 的 局 域 网 络 较为 复杂 ， 存 在 多 个 VLAN， 这 些 VLAN 的 通信 边界 是 逻辑 的 ， 而 路 由 器 C 则 
是 这 些 VLAN 和 其 他 区 域 的 共同 物理 边界 。 









核心 三 层 交 


























图 12-10 一 个 复杂 网 络 示 意图 


在 进行 局 部 分 析 法 时 ， 对 整个 网 络 进行 抽象 ， 形 成 如 图 12-11 所 示 的 网 络 分 段 ， 其 中 ， 图 
12-11 (a) 是 路 由 器 A 所 连接 的 物理 网 段 ， 图 12-11 (b) 是 路 由 器 C 所 连接 的 多 个 多 辑 网 段 的 
抽象 图 。 
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网 络 其 
他 部 分 
路 由 器 A 


交换 机 


客户 端 客户 并 





(a) (b) 


图 12-11 局 部 分 析 法 所 形成 的 抽象 图 


2. 确定 个 人 用 户 和 网 段 的 通信 量 


在 通信 量 分 析 中 ， 第 二 步 是 复查 需求 说 明 书 中 的 业务 需求 、 用 户 需 求 、 应 用 需求 、 网 络 需 
求 部 分 的 内 容 ， 并 根据 通信 流量 的 分 析 进 行 再 次 确定 。 在 需求 收集 阶段 ， 已 经 明确 了 用 户 对 各 
种 应 用 程序 的 估算 使 用 量 ， 其 中 反映 流量 的 主要 是 应 用 需求 和 网 络 需 求 。 但 是 这 些 估算 不 仅 没 
有 包含 网 络 流量 ， 也 没有 根据 通信 模式 进行 流量 分 布 分 析 。 这 个 步骤 的 工作 在 于 将 需求 分 析 中 
不 同 格式 的 统计 表格 转化 为 统一 的 流量 表格 ， 以 便于 开始 后 续 的 分 析 工 作 。 


3. 确定 本 地 和 远程 网 段 上 的 通信 流量 分 布 


确定 本 地 和 远程 网 段 上 的 通信 流量 分 布 是 分 析 工 作 的 第 三 步 。 这 个 步骤 的 重要 任务 是 明确 
多 少 通信 流量 存在 于 网 络 内 部 ， 多 少 通信 流量 是 访问 其 他 网 段 。 下 面 以 一 个 拥有 物理 边界 的 网 
段 为 例 ， 借 助 于 前 两 步 的 分 析 结 果 进 行 通 信 流 量 分 布 分 析 。 

假设 一 个 专用 网 络 中 拥有 4 个 物理 网 段 ， 编 号 为 1~4 号 ， 这 4 个 网 段 直 接 通 过 路 由 器 进 
行 连接 ， 如 图 12-12 所 示 。 其 中 的 网 段 1 为 整个 网 络 的 核心 网 段 ， 所 有 的 服务 器 都 托管 在 网 段 
1， 而 网 段 2 至 网 段 4 为 普通 的 工作 网 段 。 

网 段 2 中 的 用 户主 要 使 用 以 下 几 种 应 用 : 

。 工作 邮件 。 用 户 需 要 通过 邮件 客户 端 访问 置 于 网 段 1 的 邮件 服务 器 。 
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。 ”办 公 自 动 化 系统 。 办 公 系 统 应 用 服务 器 位 于 网 段 1， 以 B/S 模式 提供 服务 。 
。 ”生产 管理 系统 。 服 务 器 位 于 网 段 1， 以 B/S 模式 提供 服务 ， 主 要 用 于 满足 4 
理 需 要 。 








和 设计 


E 产 工作 管 


。 文件 共享 服务 。 服 务 器 位 于 网 段 1， 主 要 采用 Windows 网 络 文件 系统 提供 C/S 服务 。 
。 ”视频 监控 。 用 户 可 以 互相 调 阅 不 同 网 段 的 视频 监控 流 ， 不 需要 经 过 流 媒体 服务 器 的 管 








理 ， 属 于 典型 的 P2P 应 用 。 











。 ”内 部 交流 。 指 用 户 借助 于 部 分 局 域 网 通信 软件 ， 进 行内 部 交流 。 






网 段 2 


网 段 4 避 





网 段 3 


图 12-12 网 络 示 意图 


在 需求 分 析 中 ， 可 以 形成 如 表 12-5 所 示 的 表格 。 
表 12-5 应 用 需求 分 析 表 


平均 事务 量 大 每 个 会 话 发 生 

















应 用 名 称 小 (MB) 平均 用 户 数 | 平均 会 话 长 度 的 事务 数量 络 模 型 
工作 邮件 1 CS 
办 公 自 动 化 系统 0.02 B/S 
生产 管理 系统 0.05 B/S 
文件 共享 服务 100 CI/S 
视频 监控 400 P2P 
内 部 交流 0.01 P2P 








co 


co 
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用 户 可 以 根据 下 面 的 公式 计算 出 应 用 需要 传递 信息 的 速率 。 
应 用 总 信息 传输 速率 = 平均 事务 量 大 小 X 每 字 节 位 数 X 每 个 会 话 事务 数 X 平 均 用 户 数 / 平 


均 会 话 长 度 


根据 这 个 公式 ， 计 算出 结果 如 下 。 





工作 邮件 : 1X8X2X200/60=53Mbps 
办 公 自 动 化 系统 : 0.02X8X4X400/60~4.3Mbps 
生产 管理 系统 : 0.05X8X8X200/60 守 10.7Mbps 


文件 共享 服务 : 100X8X1X100/600~~133.4Mbps 
视频 监控 : 400X8X1X20/3600~:17.8Mbps 
内 部 交流 : 0.01X8X4X800/60~4.3Mbps 

同时 ， 由 于 3 个 工作 网 段 基本 上 是 类 似 网 段 ， 用 户 在 3 个 网 段 的 分 布 基本 一 致 ， 所 以 网 段 


2 所 承担 的 各 应 用 的 比例 都 是 13， 各 应 用 的 信息 传递 速率 是 总 速率 的 1/3。 


由 于 各 应 用 的 通信 模式 不 同 ， 各 应 用 在 网 段 2 中 的 通信 流量 分 布 也 不 同 ， 分 析 通 信 模 式 后 
形成 如 表 12-6 所 示 的 表格 。 


应 ”用 
工作 邮件 
办 公 自 动 
化 系统 
生产 管理 
系统 
文件 共享 
服务 


表 12-6 应 用 流量 分 布 表 


浏览 器 一 
服务 器 
浏览 器 一 


服务 器 


@ 客 户 端 至 服务 器 
@ 服 务 器 至 客户 端 | 进入 网 段 | 1 | 
@ 客 户 端 至 服务 器 
@ 服 务 器 至 客户 端 | 进入 网 段 | 1 | 
@ 客 户 端 至 
@ 服 务 器 至 客户 端 | 进入 网 段 | 1 | 


名 客户 端 至 服务 器 2 





@ 服 务 器 至 客户 端 


估算 流量 
53X 50%=26.5 
53X 50%=26.5 
4.3X20%=0.86 
4.3X80% 二 3.44 
10.7X20%=2.14 
10.7X 80%=8.56 
133.4X50% 一 66.7 
133.4X50% 一 66.7 





视频 监控 


@P2P 流 


17.8X66% 王 11.8 





CDP2P 流 


17.8X33%=5.9 





内 部 交流 





QP2P 流 








4.3X100%=4.3 


注意 ， 由 于 工作 邮件 、 文 件 共享 服务 的 网 络 通 信 模 式 为 客户 端 一 服务 器 模式 ， 这 种 模式 双 
向 流量 大 ， 因 此 在 网 段 流 量 分 布 上 应 用 的 总 流量 在 两 个 方向 上 各 占 50%; 办 公 自 动 化 系统 、 生 
产 管 理 系 统 属于 浏览 器 一 服务 器 模式 ， 在 估算 时 客户 端 至 服务 器 按 20% 进 行 估算 ， 反 向 按 80% 
进行 估算 ， 在 实际 项 目 中 可 根据 测试 情况 进行 调整 ， 内 部 交流 主要 在 网 段 内 部 ， 不 产生 外 部 流 
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量 ; 视频 监控 主要 是 根据 用 户 在 网 段 的 比例 ， 网 段 内 部 用 户 数量 为 总 用 户 的 113， 其 他 网 段 则 占 
2/3。 在 本 例 中 没有 考虑 TCP 协议 、 卫 协议 封装 所 引起 的 流量 ， 如 果 需 要 考虑 这 些 协议 封装 增 
加 的 流量 ， 则 需要 统计 各 应 用 的 平均 协议 包 长 度 ， 并 根据 协议 包头 长 度 和 有 效 负载 长 度 算 出 实 
际 的 网 络 层 流 量 。 例 如 ， 假 设 经 过 统计 或 者 经 验 ， 工 作 邮 件 的 平均 他 包 长 度 为 1200 字 节 ， 则 
下 包头 为 20 字 节 、TCP 包头 为 20 字 节 ， 其 余 的 为 有 效 负载 部 分 ， 则 工作 邮件 客户 端 至 服务 器 
端 应 用 流量 实际 产生 的 网 络 层 流量 为 26.5X1200/1160=:27.4Mbps。 

基于 以 上 分 析 ， 可 以 形成 如 表 12-7 所 示 的 总 流量 分 布 。 


表 12-7 网 段 2 总 流量 分 布 表 
网 络 总 流量 
102X64/56~11.7 
| 1 | 265+08612141667-962 | 962xX64/56~110 
1052X 64/56~120 
1 8X656135 


由 于 以 太 网 的 最 小 帧 长 为 64 字 节 ， 其 中 有 效 负载 为 56 字 节 ， 因 此 可 以 根据 这 种 极端 情况 
计算 出 所 需要 的 最 大 网 络 流量 。 
由 表 12-7 可 知 ， 网 段 2 内 部 的 网 络 设备 必须 提供 13.5Mbps 的 网 络 吞 吐 率 ， 而 网 段 2 和 网 
段 1 之 间 的 往来 流量 分 别 为 110Mbps 和 120Mbps。 由 网 段 2 访问 其 他 网 段 的 双向 流量 为 13.3SMbps， 
则 内 部 交换 机 的 吞吐 率 必须 大 于 13.5Mbps， 网 段 2 的 边界 路 由 器 必须 提供 大 于 110+120+13.5= 
243.5Mbps; 而 网 段 2 的 边界 路 由 器 至 内 部 交换 设备 的 连接 应 提供 正 向 110+13.5/2 =116.75Mbps， 
反 向 120+13.5/2=126.75Mbps 的 传输 速率 ， 则 在 设计 时 可 以 采用 千 光 以 太 线路 并 将 线路 的 双向 
传输 速率 都 限制 在 200Mbps 以 内 。 同 时 ， 表 12-7 可 以 作为 广域网 和 网 络 骨 干 的 计算 依据 。 
需要 注意 的 是 ， 以 上 仅仅 是 根据 用 户 需 求 、 应 用 需求 计算 网 络 流量 的 一 个 示例 ， 由 于 不 同 
的 设计 人 员 采 用 的 需求 分 析 方式 和 表格 不 同 ， 其 计算 的 方法 也 不 同 ， 但 是 都 可 以 获取 网 络 层 流 
量 。 例 如 ， 有 些 设计 人 员 喜 欢 用 在 线 用 户 数量 、 每 个 在 线 用 户 的 平均 流量 来 进行 计算 ， 有 些 设 
计 人 员 喜 欢 用 应 用 的 用 户 每 秒 事 务 量 和 事务 量 大 小 来 计算 流量 ; 还 有 些 设计 人 员 会 考虑 峰值 情 
况 ， 并 以 峰值 速率 作为 设计 依据 ， 以 避免 网 络 在 峰值 时 段 出 现 拥塞 。 


4. 对 每 个 网 段 重 复 上 述 步 又 


对 每 个 网 段 重 复 上 述 步骤 ， 其 中 个 人 应 用 收集 的 信息 是 每 一 个 应 用 和 网 段 都 要 用 到 的 。 然 
后 ， 确 定 每 一 个 本 地 网 段 的 通信 量 以 及 该 网 段 对 整个 广域网 和 网 络 骨 干 的 通信 量 。 
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S. 分 析 广域网 和 网 络 骨 干 的 通信 流量 


通过 对 每 个 网 段 的 分 析 ， 除 了 形成 各 网 段 自身 的 通信 要 求 外 ， 还 可 以 形成 与 本 网 段 有 关 的 
广域网 、 骨 干 网 的 通信 要 求 。 在 不 同 网 络 工程 中 ， 用 户 对 广域网 拓扑 结构 的 要 求 和 建议 不 同 
即使 拓扑 相同 ， 但 信息 的 路 由 不 同 ， 所 以 对 于 网 络 设备 的 要 求 也 是 不 同 的 。 因 此 ， 对 广域网 和 
网 络 骨干 的 通信 流量 分 析 必 须 参考 用 户 意见 ， 并 且 应 当做 到 灵活 机 动 。 

通信 流量 计算 完成 后 ， 要 把 它们 整理 总 结 成 一 份 文件 ， 该 文件 将 成 为 最 终 的 通信 规范 说 明 
书 的 一 部 分 。 同 时 ， 用 这 些 新 的 信息 来 提高 当前 逻辑 网 络 图 的 质量 ， 标 明 广 播 域 、 冲 突 域 和 子 
网 的 边界 。 如 果 通 过 通信 流量 计算 ， 表 现 出 了 定向 通信 模式 ， 也 应 在 图 上 标 出 。 


12.5 ”逻辑 网 络 设计 





网 络 的 逻辑 结构 设计 来 自 于 用 户 需 求 中 描述 的 网 络 行为 和 性 能 等 要 求 。 人 逻辑 设计 要 根据 网 
络 用 户 的 分 类 和 分 布 来 选择 特定 的 技术 ， 形 成 特定 的 网 络 结构 。 网 络 结构 大 致 描述 了 设备 的 互 
联 及 分 布 ， 但 是 不 对 具体 的 物理 位 置 和 运行 环境 进行 确定 。 

惕 辑 设计 过 程 主要 由 以 下 4 个 步骤 组 成 。 

(1) 确定 迪 辑 设计 目标 。 

(2) 网 络 服务 评价 。 

(3) 技术 选项 评价 。 

(4) 进行 技术 决策 。 


12.5.1 逻辑 网 络 设计 目标 


好 辑 网 络 的 设计 目标 主要 来 自 于 需要 分 析 说 明 书 中 的 内 容 ， 尤 其 是 网 络 需求 部 分 ， 由 于 这 
部 分 内 容 直 接 体现 了 网 络 管理 部 门 和 人 员 对 网 络 设计 的 要 求 , 因此 需要 重点 考虑 。 一 般 情 况 下 ， 
风 辑 网 络 设计 的 目标 如 下 。 

(1) 合适 的 应 用 运行 环境 。 逻辑 网 络 设计 必须 为 应 用 系统 提供 环境 ， 并 可 以 保障 用 户 能 够 
顺利 地 访问 应 用 系统 。 

(2) 成 熟 而 稳定 的 技术 选 型 。 在 逻辑 网 络 设计 阶段 ， 应 该 选择 较为 成 熟 稳定 的 技术 ， 越 是 
大 型 的 项 目 ， 越 要 考虑 技术 的 成 熟 度 ， 以 避免 错误 投入 。 

(3) 合理 的 网 络 结构 。 合 理 的 网 络 结构 不 仅 可 以 减少 一 次 性 投资 ， 而 且 可 以 避免 网 络 建设 
中 出 现 各 种 复杂 问题 。 

(4) 合适 的 运营 成 本 。 轴 辑 网 络 设计 不 仅仅 决定 了 一 次 性 投资 ， 技 术 选 型 、 网 络 结构 也 直 
接 决 定 了 运营 维护 等 周期 性 投资 。 
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(5) 逻辑 网 络 的 可 扩充 性 能 。 网 络 设计 必须 具有 较 好 的 可 扩充 性 ， 以 便于 满足 用 户 增长 、 
应 用 增长 的 需要 ， 保 证 不 会 因为 这 些 增长 而 导致 网 络 重 构 。 

(6) 逻辑 网 络 的 易 用 性 。 网 络 对 于 用 户 是 透明 的 ， 网 络 设计 必须 保证 用 户 操作 的 单纯 性 ， 
过 多 的 技术 性 限制 会 导致 用 户 对 网 络 的 满意 度 降低 。 

(7) 逻辑 网 络 的 可 管理 性 。 对 于 网 络 管理 员 来 说 ， 网 络 必须 提供 高 效 的 管理 手段 和 途径 ， 
否则 不 仅 会 影响 管理 工作 本 身 ， 也 会 直接 影响 用 户 。 

(8) 逻辑 网 络 的 安全 性 。 网 络 安全 应 提倡 适度 安全 ， 对 于 大 多 数 网 络 来 说 ， 既 要 保证 用 户 
的 各 种 安全 需求 ， 又 不 能 给 用 户 带 来 太 多 限制 。 但 是 对 于 特殊 的 网 络 ， 必 须 采 用 较为 严密 的 网 
络 安全 措施 。 


12.5.2 需要 关注 的 问题 


1. 设计 要 素 


设计 工作 的 要 素 主 要 如 下 。 

(1) 用 户 需 求 。 

(2) 设计 限制 。 

(3) 现 有 网 络 。 

(4) 设计 目标 。 

逻辑 设计 过 程 就 是 根据 用 户 的 需求 ， 不 违背 设计 限制 ， 对 现 有 网 络 进行 改造 或 新 建 网 络 ， 
最 终 达 到 设计 目标 的 工作 。 


2. 设计 面临 的 冲突 


在 网 络 设计 工作 中 ， 设 计 目标 是 一 个 复杂 的 整体 ， 由 不 同 维度 的 子 目 标 构 成 。 这 些 子 目标 
独立 考虑 时 存在 较为 明显 的 优 劣 关 系 ， 例 如 : 

(1) 最 低 的 安装 成 本 。 

(2) 最 低 的 运行 成 本 。 

(3) 最 高 的 运行 性 能 。 

(4) 最 大 的 适应 性 。 

(5) 最 短 的 故障 时 间 。 

(6) 最 大 的 可 靠 性 。 

(7) 最 大 的 安全 性 。 

这 些 子 目 标 相 互 之 间 可 能 存在 冲突 ， 不 存在 一 个 网 络 设计 方案 ， 能 够 使 所 有 的 子 目标 都 达 
到 最 优 。 为 了 找到 较为 优秀 的 方案 ， 能 够 解决 这 些 子 目标 的 冲突 ， 可 以 采用 两 种 方法 : 第 一 种 
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方法 较为 传统 ， 由 网 络 管理 人 员 和 设计 人 员 一 起 建立 这 些 子 目 标 之 间 的 优先 级 ， 尽 量 让 优先 级 
比较 高 的 子 目 标 达到 较 优 :第 二 种 方法 是 对 每 种 子 目 标 建立 权重 ， 对 子 目标 的 取 值 范围 进行 量 
化 ， 通 过 评判 函数 决定 哪 种 方案 最 优 ， 而 子 目 标的 权重 关系 直接 体现 了 用 户 对 不 同 目标 的 关 
心 度 。 


3. 成 本 与 性 能 


成 本 与 性 能 是 最 为 常见 的 冲突 目标 ,一般 来 说 ， 网 络 设计 方案 的 性 能 越 高 ， 也 就 意味 着 更 
高 的 成 本 ， 包 括 建 设 成 本 和 运行 成 本 。 

在 设计 方案 时 ， 所 有 不 超过 成 本 限制 、 满 足 用 户 要 求 的 方案 都 称 为 可 行 方案 。 设 计 人 员 只 
能 从 可 行 方案 中 依据 用 户 对 性 能 和 成 本 的 喜好 进行 选择 。 

网 络 建设 的 成 本 分 为 一 次 性 投资 和 周期 性 投资 。 在 初期 建设 过 程 中 ， 如 何 合理 地 规划 一 次 
性 投资 的 支付 是 比较 关键 的 。 过 早 支付 费用 ， 容 易 造 成 建设 单位 的 风险 ， 对 于 未 按 设 计 方案 实 
施 的 情况 ， 无 法 形成 制约 机 制 ; 过 晚 支付 费用 ， 容 易 造成 承建 单位 的 资金 压力 ， 导 致 项 目 实施 
质量 等 多 方面 的 问题 。 较 为 合理 的 支付 方式 ， 必 须 是 依据 逻辑 网 络 设计 的 特点 将 网 络 工 程 划分 
为 各 个 阶段 ， 在 每 个 阶段 后 实施 验收 ， 并 支付 相应 的 阶段 费用 ， 在 工程 建设 完毕 并 试 运行 一 段 
时 间 后 才能 支付 最 后 的 质量 保证 费用 。 

对 于 运营 维护 等 周期 性 费用 的 支付 也 应 考虑 合理 性 ， 这 主要 体现 在 周期 划分 方式 、 支 付 方 
式 等 方面 。 


12.5.3 ”主要 的 网 络 服务 


网 络 设计 人 员 应 该 依据 网 络 提供 的 服务 要 求 来 选择 特定 的 网 络 技术 ， 不 同 的 网 络 ， 其 服务 
的 要 求 不 同 ， 但 是 对 于 大 多 数 网 络 来 说 ， 都 存在 着 两 个 主要 的 网 络 服务 一 一 网 络 管理 和 网 络 安 
全 ， 这 些 服务 在 设计 阶段 是 必须 考虑 的 。 


1. 网 络 管理 服务 


网 络 管理 可 以 根据 网 络 的 特殊 需要 ， 将 其 划分 为 几 个 不 同 的 大 类 ， 其 中 的 重点 内 容 是 网 络 
故障 诊断 、 网 络 的 配置 及 重 配 置 和 网 络 监视 。 

(1) 网 络 故障 诊断 。 网 络 故障 诊断 主要 借助 于 网 管 软件 、 诊 断 软件 和 各 种 诊断 工具 。 对 于 
不 同类 型 的 网 络 和 技术 ， 需 要 的 软件 和 工具 是 不 同 的 ， 应 在 设计 阶段 就 考虑 到 网 络 工程 中 各 种 
诊断 软件 和 工具 的 需要 。 

(2) 网 络 的 配置 及 重 配 置 。 网 络 的 配置 及 重 配置 是 网 络 管理 的 另 一 个 问题 ， 各 种 网 络 设备 
都 提供 了 多 种 配置 方法 ， 同 时 也 提供 了 配置 重新 装载 的 功能 。 在 设计 阶段 ， 考 虑 到 网 络 设备 的 
配置 保存 和 更 新 需要 ， 提 供 特定 的 配置 工具 以 及 配置 管理 工具 ， 对 于 方便 管理 人 员 的 工作 是 非 
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常 有 必要 的 。 
(3) 网 络 监视 。 网 络 监视 的 需求 随 着 网 络 规模 和 复杂 性 的 不 同 而 不 同 ， 网 络 监视 是 为 了 预 
防 灾难 ， 使 用 监视 服务 来 防止 和 监测 网 络 的 运行 情况 。 


2， 网 络 安全 


网 络 安全 系统 是 网 络 逻辑 设计 的 固有 部 分 ， 网 络 设计 者 可 以 采用 以 下 步骤 来 进行 安全 
设计 ; 

(1) 明确 需要 安全 保护 的 系统 。 首 先 要 明确 网 络 中 需要 重点 包括 的 关键 系统 ， 通 过 该 项 工 
作 ， 可 以 找 出 安全 工作 的 重点 ， 避 免 全 面 铺 开 而 又 无 法 面面俱到 的 局 面 。 

(2) 确定 潜在 的 网 络 弱点 和 漏洞 。 对 于 这 些 重 点 防护 的 系统 ， 必 须 通 过 对 这 些 系统 的 数据 
存储 、 协 议 传递 和 服务 方式 等 的 分 析 ， 找 出 可 能 存在 的 网 络 弱点 和 漏洞 。 在 设计 阶段 ， 应 依据 
工程 经 验 对 这 些 网 络 弱点 和 漏洞 设计 特定 的 防护 措施 ; 在 实施 阶段 , 再 根据 实施 效果 进行 调整 。 

(3) 尽量 简化 安全 。 安 全 设计 要 注意 简化 问题 ， 不 要 盲目 扩大 安全 技术 和 措施 的 重要 性 ， 
适当 采用 一 些 传统 而 有 效 、 成 本 低廉 的 安全 技术 来 提高 安全 性 是 非常 有 必要 的 。 

(4) 安全 制度 。 单纯 的 技术 措施 是 无 法 保证 网 络 的 整体 安全 的 , 必须 匹配 相应 的 安全 制度 。 
在 逻辑 设计 阶段 尚 不 能 制定 完备 的 安全 制度 ， 但 是 对 安全 制度 的 大 致 性 要 求 ， 包 括 培 训 、 操 作 
规范 和 保密 制度 等 框架 性 要 求 是 必须 明确 的 。 


12.5.4 ”技术 评价 

根据 用 户 的 需求 设计 逻辑 网 络 ， 选 择 正 确 的 网 络 技术 比较 关键 ， 在 进行 选择 时 应 考虑 以 下 
因素 。 

1. 通信 带宽 


所 选择 的 网 络 技术 必须 保证 足够 的 带宽 ， 能 够 为 用 户 访问 应 用 系统 提供 保障 。 在 进行 选择 
时 ， 不 能 仅 局 限于 现 有 的 应 用 要 求 ， 还 要 考虑 适当 的 带宽 增长 需求 。 


2. 技术 成 熟 性 


所 选择 的 网 络 技术 必须 是 成 熟 、 稳 定 的 技术 ， 有 些 新 的 应 用 技术 在 尚 没有 大 规模 投入 应 用 
时 还 存在 着 较 多 不 确定 因素 ， 而 这 些 不 确定 因素 将 会 为 网 络 建设 带 来 很 多 不 可 估量 的 损失 。 虽 
然 新 技术 的 自身 发 展 离 不 开工 程 应 用 ， 但 是 对 于 大 型 网 络 工程 来 说 ， 项 目 本 身 不 能 成 为 新 技术 
的 试验 田 。 因 此 ， 尽 量 使 用 较为 成 熟 、 拥 有 较 多 案例 的 技术 是 明智 的 选择 。 

同时 ， 在 面 对 技 术 变革 的 特殊 时 期 ， 可 以 采用 试点 的 方式 缩小 新 技术 的 应 用 范围 ， 规 避 技 
术 风 险 ， 待 技术 成 熟 后 再 进行 大 规模 应 用 。 
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3。 连接 服务 类 型 


连接 服务 类 型 是 逻辑 设计 时 必须 考虑 的 问题 ,传统 的 连接 服务 分 为 面向 连接 服务 与 非 连 接 
服务 ， 风 辑 设计 需要 在 无 连接 和 面向 连接 的 协议 之 间 进 行 权衡 。 

由 于 当前 广泛 应 用 的 网 络 协议 主要 是 TCP/IP 协议 族 ， 其 网 络 层 协 议 是 提供 非 连接 服务 的 
卫 协议 ， 因 此 选择 连接 服务 类 型 ， 主 要 是 对 卫 协议 底层 的 承载 协议 进行 选择 。 如 果 选 择 连 接 
服务 类 型 ， 则 可 以 选择 ATIM、SDH 等 协议 ， 如 果 选 择 非 连接 服务 类 型 ， 则 可 以 选择 以 太 网 等 
协议 。 不 同 的 网 络 工 程 ， 对 连接 服务 类 型 的 需求 不 同 ， 设 计 者 不 能 仅 局 限于 一 种 连接 服务 进行 
设计 。 

4. 可 扩充 性 


网 络 设计 者 的 设计 依据 是 较为 详细 的 需求 分 析 ， 但 是 在 选择 网 络 技术 时 不 能 仅 考虑 当前 的 
需求 , 而 忽视 未 来 的 发 展 。 在 大 多 数 情况 下 , 设计 人 员 都 会 在 设计 中 预 留 一 定 的 元 余 ， 在 带宽 、 
通信 容量 、 数 据 春 吐 量 和 用 户 并 发 数 等 方面 ， 网 络 实际 需要 和 设计 结果 之 间 的 比例 应 小 于 一 个 
特定 值 ， 以 便于 未 来 的 发 展 。 一 般 来 说 ， 这 个 值 位 于 709% 一 80% 之 间 ， 在 不 同 的 工程 中 ， 可 以 
根据 需要 进行 调整 。 


S， 高 投资 产 出 比 


选择 网 络 技术 最 关键 的 一 条 不 是 技术 的 扩展 性 、 高 性 能 ， 也 不 是 成 本 最 低 等 概念 ， 决 定 设 
计 和 网 络 管理 人 员 采 用 某 种 技术 的 最 关键 点 是 技术 的 投入 产 出 比 ， 尤 其 是 一 些 借助 于 网 络 来 实 
现 营 运 的 工程 ， 只 有 通过 投入 产 出 比分 析 才 能 最 后 决定 技术 的 使 用 。 


12.5.5” 风 辑 网 络 设计 的 工作 内 容 


逻辑 网 络 设计 工作 主要 包括 以 下 内 容 。 
(1) 网 络 结构 的 设计 。 

(2) 物理 层 技术 的 选择 。 

(3) 局 域 网 技术 的 选择 与 应 用 。 

(4) 广域网 技术 的 选择 与 应 用 。 

(5) 地 址 设计 和 命名 模型 。 

(6) 路 由 选择 协议 。 

(7) 网 络 管理 。 

(8) 网 络 安全 。 

(9) 逻辑 网 络 设计 文档 。 





~ 
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12.6 ”网 络 结构 设计 


传统 意义 上 的 网 络 拓扑 是 将 网 络 中 的 设备 和 节点 描述 成 点 ， 将 网 络 线路 和 链 路 描述 成 线 。 
用 于 研究 网 络 的 方法 ， 随 着 网 络 的 不 断 发 展 ， 单 纯 的 网 络 拓扑 结构 已 经 无 法 全 面 描述 网 络 。 因 
此 ， 在 好 辑 网 络 设计 中 ， 网 络 结构 的 概念 正在 取代 网 络 拓扑 结构 的 概念 成 为 网 络 设计 的 框架 。 

网 络 结构 是 对 网 络 进行 逻辑 抽象 ,描述 网 络 中 主要 连接 设备 和 网 络 计算 机 节点 分 布 所 形成 
的 网 络 主体 框架 ， 网 络 结构 与 网 络 拓扑 结构 的 最 大 区 别 在 于 : 在 网 络 拓 扑 结 构 中 只 有 点 和 线 ， 
不 会 出 现任 何 的 设备 和 计算 机 节点 。 网 络 结构 主要 是 描述 连接 设备 和 计算 机 节点 的 连接 关系 。 
由 于 当前 的 网 络 工程 主要 由 局 域 网 和 实现 局 域 网 互 连 的 广域网 构成 , 因此 可 以 将 网 络 工程 
中 的 网 络 结构 设计 分 成 局 域 网 结构 和 广域网 结构 两 个 设计 部 分 内 容 ， 其 中 ， 局 域 网 结构 主要 讨 
论 数据 链 路 层 的 设备 互 连 方式 ， 广 域 网 结构 主要 讨论 网 络 层 的 设备 互 连 方式 。 


12.6.1 ”局域网 结构 


当前 的 局 域 网 络 与 传统 意义 上 的 局 域 网 络 已 经 发 生 了 很 多 变化 ,传统 意义 上 的 局 域 网 络 只 
具备 二 层 通信 功能 ， 现 代 意义 上 的 局 域 网 络 不 仅 具 有 二 层 通信 功能 ， 同 时 具有 三 层 甚至 多 层 通 
信 的 功能 。 现 代 局 域 网 络 ， 从 某 种 意义 上 说 ， 被 称 为 园区 网 络 更 为 合适 。 以 下 是 在 进行 局 域 网 
络 设计 时 常见 的 局 域 网 络 结构 。 


1， 核 心 局 域 网 结构 


单 核心 局 域 网 结构 主要 由 一 台 核 心 二 层 或 三 层 交 换 设备 构建 局 域 网 络 的 核心 ， 通 过 多 台 接 
入 交换 机 接 入 计算 机 节点 ， 该 网 络 一 般 通过 与 核心 交换 机 互 连 的 路 由 设备 《路 由 器 或 防火 增 ) 
接 入 广域网 中 。 典 型 的 单 核心 结构 如 图 12-13 所 示 。 

对 单 核心 结构 分 析 如 下 。 

《1) 核心 交换 设备 在 实现 上 多 采用 二 层 、 三 层 交换 机 或 多 层 交 换 机 。 

(2》 如 采用 三 层 或 多 层 设 备 ， 可 以 划分 成 多 个 VLAN， 在 VLAN 内 只 进行 数据 链 路 层 由 
转发。 

(3) 网 络 内 各 VLAN 之 间 访 问 需 要 经 过 核心 交换 设备 ,并 且 只 能 通过 网 络 层 数据 包 转发 方 
式 实现 。 

(4) 网 络 中 除 核心 交换 设备 以 外 不 存在 其 他 的 带 三 层 路 由 功能 设备 。 

(5) 核心 交换 设备 与 各 VLAN 设备 可 以 采用 10M/100M/1000M 以 太 网 连接 。 

(6) 节省 设备 投资 

(7) 网 络 结构 简单 
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(8) 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 访 问 效率 高 。 


yg 


服务 器 







> 
局 域 网 接 入 交换 机 局 域 网 接 入 交换 机 


人 人 包 8 


桌面 用 户 桌面 用 户 
图 12-13 单 核心 局 域 网 结构 


(9) 在 核心 交换 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 

(10) 网 络 地 理 范围 小 ， 要 求 部 门 网 络 分 布 比较 紧凑 。 

(11) 核心 交换 机 是 网 络 的 故障 单 点 ， 容 易 导致 整 网 失效 。 

(12) 网 络 的 扩展 能 力 有 限 。 

(13) 对 核心 交换 设备 的 端口 密度 要 求 较 高 。 

(14) 除非 规模 较 小 的 网 络 ， 否 则 桌面 用 户 不 直接 与 核心 交换 设备 相连 ， 也 就 是 核心 交换 
机 与 用 户 计算 机 之 问 应 存在 接 入 交换 机 。 


2. 双核 心 局 域 网 结构 


双核 心 结构 主要 由 两 台 核心 交换 设备 构建 局 域 网 核心 ， 该 网 络 一 般 也 是 通过 与 核心 交换 机 
互 连 的 路 由 设备 接 入 广域网 ， 并 且 路 由 器 与 两 台 核心 交换 设备 之 间 都 存在 物理 链 路 。 典 型 的 双 
核心 结构 如 图 12-14 所 示 。 

对 双核 心 结构 分 析 如 下 。 

(1) 核心 交换 设备 在 实现 上 多 采用 三 层 交换 机 或 多 层 交 换 机 。 

(2) 网 络 内 各 VLAN 之 间 访 问 需 要 经 过 两 台 核 心 交 换 设备 中 的 一 台 。 

(3) 网 络 中 除 核心 交换 设备 以 外 不 存在 其 他 的 具备 路 由 功能 的 设备 。 

(4) 核心 交换 设备 之 间 运 行 特定 的 网 关 保护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP 和 
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GLBP 等 。 
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6 名 


桌面 用 户 桌面 用 户 
图 12-14 ”双核 心 局 域 网 结构 


局 域 网 接 入 交换 机 


(5) 核心 交换 设备 与 各 VLAN 设备 间 可 以 采用 10M/100M/1000M 以 太 网 连接 。 

(6) 网 络 拓扑 结构 可 靠 。 

(7) 路 由 层面 可 以 实现 无 颖 热切 换 。 

(8) 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 多 条 路 径 选 择 可 靠 性 更 高 。 

(9) 在 核心 交换 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 。 

(10) 设备 投资 比 单 核心 高 。 

(11) 对 核心 路 由 设备 的 端口 密度 要 求 较 高 。 

(12) 核心 交换 设备 和 桌面 计算 机 之 间 存 在 接 入 交换 设备 ， 接 入 交换 设备 同时 和 双核 心 存 
在 物理 连接 。 

(13) 所 有 服务 器 都 直接 同时 连接 至 两 台 核心 交换 机 ， 借 助 于 网 关 保护 协议 ， 实 现 桌面 用 
户 对 服务 器 的 高 速 访 问 。 

3， 环 型 局 域 网 结构 

环 型 局 域 网 结构 由 多 台 核 心 三 层 设备 连接 成 双 RPR 动态 弹性 分 组 环 , 构建 整个 局 域 网 络 的 
核心 ， 该 网 络 通过 与 环 上 交换 设备 互 连 的 路 由 设备 接 入 广域网 络 。 

典型 的 环 型 结构 如 图 12-15 所 示 。 

对 环 型 结构 分 析 如 下 。 
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图 12-15 环 型 局 域 网 结构 


(1) 核心 交换 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 。 

(2) 网 络 内 各 VLAN 之 间 访 问 需 要 经 过 RPR 环 。 

(3) RPR 技术 能 提供 MAC 层 的 50ms 自 愈 时 间 ， 能 提供 多 等 级 、 可 靠 的 QoS 服务 。 

(4) RPR 有 自 愈 保护 功能 ， 节 省 光纤 资源 。 

(5) RPR 协议 中 没有 提 及 相交 环 、 相 切 环 等 组 网 结构 ， 当 利用 RPR 组 建 大 型 城 域 网 时 ， 
多 环 之 间 只 能 利用 业务 接口 进行 互通 , 不 能 实现 网 络 的 直接 互通 , 因此 它 的 组 网 能 力 相 对 SDH、 
MSTP 较 弱 。 

(6) 由 两 根 反 向 光纤 组 成 环 型 拓扑 结构 。 其 中 ， 一 根 顺 时 针 ， 一 根 逆 时 针 ， 革 点 在 环 上 可 
以 从 两 个 方向 到 达 另 一 节点 。 每 根 光纤 可 以 同时 用 来 传输 数据 和 同 向 控制 信号 , RPR 环 双向 可 用 。 

(7) 利用 空间 重用 技术 实现 空间 重用 ， 使 环 上 的 带宽 得 到 更 为 有 效 的 利用 。RPR 技术 具有 
空间 复 用 、 环 自 愈 保护 、 自 动 拓扑 识别 、 多 等 级 QoS 服务 、 带 宽 公 平 机 制 和 拥塞 控制 机 制 、 物 
理 层 介质 独立 等 特点 。 

(8) 设备 投资 比 单 核心 高 。 

(9) 核心 路 由 的 元 余 设计 ， 难 度 较 高 ， 容 易 形 成 路 由 环 路 。 


4. 层次 局 域 网 结构 


层次 结构 主要 定义 了 根据 不 同 功能 要 求 将 局 域 网 络 划分 层次 构建 的 方式 ， 从 功能 上 定义 为 
核心 层 、 汇 聚 层 和 接 入 层 。 层 次 局 域 网 一 般 通 过 与 核心 层 设备 互 连 的 路 由 设备 接 入 广域网 络 。 
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典型 的 层次 结构 如 图 12-16 所 示 。 
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图 12-16 层次 局 域 网 结构 


对 层次 结构 分 析 如 下 。 

(1) 核心 层 实现 高 速 数据 转发 。 

(2) 汇聚 层 实现 丰富 的 接口 和 接 入 层 之 间 的 互 访 控制 。 
(3) 接 入 层 实现 用 户 接 入 。 

(4) 网 络 拓扑 结构 故障 定位 可 分 级 ， 便 于 维护 。 

(5) 网 络 功能 清晰 ， 有 利于 发 挥 设备 的 最 大 效率 。 
(6) 网 络 拓 上 扑 有 利于 扩展 。 


12.6.2 ”层次 化 网 络 设计 


1. 层次 化 网 络 设计 模型 


层次 化 网 络 设计 模型 可 以 帮助 设计 者 按 层 次 设计 网 络 结构 ， 并 对 不 同 层次 赋予 特定 的 功 
能 ， 为 不 同 层次 选择 正确 的 设备 和 系统 。 一 个 典型 的 层次 化 网 络 结构 包括 以 下 特征 。 

(1) 由 经 过 可 用 性 和 性 能 优化 的 高 端 路 由 器 和 交换 机 组 成 的 核心 层 。 

(2) 由 用 于 实现 策略 的 路 由 器 和 交换 机 构成 的 汇聚 层 。 
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(3) 由 用 于 连接 用 户 的 低 端 交换 机 等 构成 的 接 入 层 。 

在 上 述 网 络 结构 介绍 中 , 层次 局 域 网 结构 和 层次 广域网 结构 就 是 层次 化 网 络 设计 模型 分 别 
在 局 域 网 和 广域网 设计 中 的 应 用 。 随 着 用 户 不 断 增多 ， 网 络 复杂 度 不 断 增 大 ， 层 次 化 网 络 设计 
模型 成 为 位 于 网 络 主流 的 园区 网 络 的 经 典 模型 。 

采用 层次 化 网 络 设计 模型 进行 设计 工作 ， 具 有 以 下 优点 。 

(1) 使 用 层次 化 模型 可 以 使 网 络 成 本 降 到 最 低 , 通过 在 不 同 层次 设计 特定 的 网 络 互 连 设备 ， 
可 以 避免 为 各 层 中 不 必要 的 特性 花费 过 多 的 资金 。 层 次 化 模型 可 以 在 不 同 层次 进行 更 精细 的 容 
量规 划 ， 从 而 减少 贷款 浪费 。 同 时 ， 层 次 化 模型 可 以 使 网 络 管理 产生 层次 性 ， 不 同 层次 的 网 络 
运行 管理 人 员 的 工作 职责 也 不 同 ， 培 训 规模 和 管理 成 本 也 不 同 ， 从 而 减少 控制 管理 成 本 。 

(2) 层次 化 设计 模型 在 设计 中 可 以 采用 不 同 层 次 上 的 模块 化 ， 模 块 就 是 层次 上 的 设备 及 连 
接 集合 ， 这 使 得 每 个 设计 元 素 简化 并 易于 理解 ， 并 且 网 络 层次 间 交 界 点 也 很 容易 识别 ， 使 得 故 
障 隔离 得 到 提高 ， 保 证 了 网 络 的 稳定 性 。 

(3) 层次 化 设计 使 网 络 的 改变 变 得 更 加 容易 ， 当 网 络 中 的 一 个 网 元 需要 改变 时 ， 升 级 的 成 
本 限制 在 整个 网 络 中 很 小 的 一 个 子 集中 ， 对 网 络 的 整体 影响 达到 最 小 。 


2， 三 层 模型 


层次 化 模型 中 最 为 经 典 的 是 三 层 模 型 ， 该 模型 允许 在 3 个 层次 的 路 由 或 交换 层 上 实现 流量 
汇聚 和 过 滤 ， 这 使 得 三 层 模 型 的 规模 可 以 从 中 小 型 公司 的 网 络 扩充 到 大 型 的 国际 因特网 络 。 

三 层 模型 主要 将 网 络 划分 为 核心 层 、 汇 聚 层 和 接 入 层 ， 每 一 层 都 有 着 特定 的 作用 。 核 心 层 
提供 不 同 区 域 或 者 下 层 的 高 速 连接 和 最 优 传送 路 径 ， 汇聚 层 将 网 络 业务 连接 到 接 入 层 ， 并 且 实 
施 与 安全 、 流 量 负载 和 路 由 相关 的 策略 ， 接 入 层 为 局 域 网 接 入 广域网 或 者 终端 用 户 访问 网 络 提 
供 接 入 。 

(1) 核心 层 设 计 要 点 。 核 心 层 是 因特网 络 的 高 速 骨干 ， 由 于 其 重要 性 ， 在 设计 中 应 该 采用 
宛 余 组 件 设计 ， 使 其 具备 高 可 靠 性 ， 能 快速 适应 变化 。 

在 设计 核心 层 设备 的 功能 时 ， 应 尽量 避免 使 用 数据 包 过 滤 、 策 略 路 由 等 降低 数据 包 转 发 处 
理 的 特性 ， 以 优化 核心 层 获得 低 延迟 和 良好 的 可 管理 性 。 

核心 层 应 具有 有 限 的 和 一 致 的 范围 ， 如 果 核 心 层 覆 盖 的 范围 过 大 ， 连 接 的 设备 过 多 ， 必 然 
引起 网 络 的 复杂 度 加 大 ， 导 致 网 络 管理 性 降低 。 同 时 ， 如 果 核 心 层 覆 盖 的 范围 不 一 致 ， 必 然 导 
致 大 量 处 理 不 一 致 情况 的 功能 都 在 核心 层 网 络 设备 中 实现 ， 会 降低 核心 网 络 设备 的 性 能 。 

对 于 需要 连接 因特网 和 外 部 网 络 的 网 络 工程 来 说 ,核心 层 应 包括 一 条 或 多 条 连接 到 外 部 网 
络 的 连接 ， 这 样 可 以 实现 外 部 连接 的 可 管理 性 和 高 效 性 。 

(2) 汇聚 层 设计 要 点 。 汇 聚 层 是 核心 层 和 接 入 层 的 分 界 点 ， 应 尽量 将 出 于 安全 性 原因 对 资 
源 访问 的 控制 、 出 于 性 能 原因 对 通过 核心 层 流 量 的 控制 等 都 在 汇聚 层 实施 。 
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为 了 保证 层次 化 的 特性 ， 汇 聚 层 应 该 向 核心 层 隐藏 接 入 层 的 详细 信息 ， 例 如 ， 不 管 接 入 层 
划分 了 多 少 个 子 网 ， 汇 聚 层 向 核心 层 路 由 器 进行 路 由 宣告 时 ， 仅 会 宣告 多 个 子 网 地 址 汇聚 而 形 
成 的 一 个 网 络 。 另 外 ， 汇 聚 层 也 会 对 接 入 层 屏蔽 网 络 其 他 部 分 的 信息 ， 例 如 汇聚 层 路 由 器 可 以 
不 向 接 入 路 由 器 宣告 其 他 网 络 部 分 的 路 由 ， 而 仅仅 向 接 入 设备 宣告 自己 是 默认 路 由 。 

为 了 保证 核心 层 连接 运行 不 同 协议 的 区 域 ， 各 种 协议 的 转换 都 应 在 汇聚 层 完成 。 例 如 ， 局 
域 网 络 中 运行 了 传统 以 太 网 和 弹性 分 组 环 网 的 不 同 汇聚 区 域 ， 运行 了 不 同 路 由 算法 的 区 域 ， 可 
以 借助 于 汇聚 层 设备 完成 路 由 的 汇总 和 重新 发 布 。 

(3) 接 入 层 设计 要 点 。 接 入 层 为 用 户 提供 了 在 本 地 网 段 访问 应 用 系统 的 能 力 ， 接 入 层 要 解 
决 相 邻 用 户 之 间 的 互 访 需 要 ， 并 且 为 这 些 访问 提供 足够 的 带宽 。 

接 入 层 还 应 该 适当 负责 一 些 用 户 管理 功能 ， 包 括 地 址 认证 、 用 户 认证 和 计 费 管理 等 内 容 。 

接 入 层 还 负责 一 些 信息 的 用 户 信息 收集 工作 ， 例 如 用 户 的 下 地 址 、MAC 地 址 和 访问 日 志 
等 信息 。 


3. 层次 化 设计 的 原则 


层次 化 网 络 设计 应 该 遵循 一 些 简 单 的 原则 , 这 些 原则 可 以 保证 设计 出 来 的 网 络 更 加 具有 层 
次 的 特性 。 

(1) 在 设计 时 ， 设 计 者 应 该 尽量 控制 层次 化 的 程度 ， 一 般 情况 下 ， 有 核心 层 、 汇 聚 层 和 接 
入 层 3 个 层次 就 是 够 了 ， 过 多 的 层次 会 导致 整体 网 络 性 能 的 下 降 ， 并 且 会 提高 网 络 的 延迟 ， 同 
时 也 不 方便 网 络 故 障 排 查 和 文档 编写 。 

(2) 在 接 入 层 应 当 保持 对 网 络 结构 的 严格 控制 ， 接 入 层 的 用 户 总 是 为 了 获得 更 大 的 外 部 网 
络 访问 带宽 而 随意 申请 其 他 的 渠道 访问 外 部 网 络 ， 这 是 不 允许 的 。 

(3) 为 了 保证 网 络 的 层次 性 , 不 能 在 设计 中 随意 加 入 额外 连接 ,额外 连接 是 指 打破 层次 性 ， 
在 不 相 邻 层 间 的 连接 ， 这 些 连 接 会 导致 网 络 中 的 各 种 问题 ， 例 如 缺乏 汇聚 层 的 访问 控制 和 数据 
报 过 滤 等 。 

(4) 在 进行 设计 时 ， 应 当 首先 设计 接 入 层 ， 根 据 流量 负载 、 流 量 和 行为 的 分 析 对 上 层 进行 
更 精细 的 容量 规划 ， 再 依次 完成 各 上 层 的 设计 。 

(5) 除了 接 入 层 的 其 他 层次 以 外 ， 应 尽量 采用 模块 化 方式 ， 每 个 层次 由 多 个 模块 或 者 设备 
集合 构成 ， 每 个 模块 间 的 边界 应 非常 清晰 。 


12.6.3 ”网 络 元 余 设 计 
网 络 元 余 设计 允许 通过 设置 双重 网 络 元 素来 满足 网 络 的 可 用 性 需求 , 元 余 降低 了 网 络 的 单 
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点 失效 ， 其 目标 是 重复 设置 网 络 组 件 ， 以 避免 单个 组 件 的 失效 而 导致 应 用 失效 。 这 些 组 件 可 以 
是 一 台 核 心路 由 器 、 交 换 机 ， 可 以 是 两 台 设备 间 的 一 条 链 路 ， 可 以 是 一 个 广域网 连接 ， 可 以 是 
电源 、 风 扇 和 设备 引擎 等 设备 上 的 模块 。 对 于 某 些 大 型 网 络 来 说 ,为 了 确保 网 络 中 的 信息 安全 ， 
在 独立 的 数据 中 心 之 外 还 设置 了 元 余 的 容 灾 备份 中 心 ， 以 保证 数据 备份 或 者 应 用 在 故障 下 的 
切换 。 

在 网 络 元 余 设 计 中 ， 对 于 通信 线路 常见 的 设计 目标 主要 有 两 个 : 一 个 是 备用 路 径 ， 另 外 一 
个 是 负载 分 担 。 


1. 备用 路 径 


备用 路 径 主 要 是 为 了 提高 网 络 的 可 用 性 。 当 一 条 路 径 或 者 多 条 路 径 出 现 故障 时 ， 为 了 保障 
网 络 的 连通 ， 网 络 中 必须 存在 兄 余 的 备用 路 径 。 备 用 路 径 由 路 由 器 、 交 换 机 等 设备 之 间 的 独立 
备用 链 路 构成 ， 一 般 情况 下 ， 备 用 路 径 仅仅 在 主 路 径 失 效 时 投入 使 用 。 

在 设计 备用 路 径 时 主要 考虑 以 下 因素 。 

(1) 备用 路 径 的 带宽 。 备 用 路 径 带 宽 的 依据 ， 主 要 是 网 络 中 重要 区 域 、 重 要 应 用 的 带宽 需 
要 ， 设 计 人 员 要 根据 主 路 径 失效 后 哪些 网 络 流量 不 能 中 断 来 形成 备用 路 径 的 最 小 带宽 需求 。 

(2) 切换 时 间 。 切 换 时 间 是 指 从 主 路 径 故 障 到 备用 路 径 投入 使 用 的 时 间 ， 切 换 时 间 主 要 取 
决 于 用 户 对 应 用 系统 中 断 服务 时 间 的 容忍 度 。 

(3) 非 对 称 。 备 用 路 径 的 带宽 比 主 路 径 的 带宽 小 是 正常 的 设计 方法 ， 由 于 备用 路 径 在 大 多 
数 情况 下 并 不 投入 使 用 ， 过 大 的 带宽 容易 造成 浪费 。 

(4) 自动 切换 。 在 设计 备用 路 径 时 ， 应 尽量 采用 自动 切换 方式 ， 避 免 使 用 手工 切换 。 

(5) 测试 。 备 用 路 径 由 于 长 期 不 投入 使 用 ， 对 线路 、 设 备 上 存在 的 问题 不 容易 发 现 ， 应 设 
计 定 期 的 测试 方法 ， 以 便于 及 时 发 现 问题 。 

2. 负载 分 担 


负载 分 担 通 过 元 余 的 形式 来 提高 网 络 的 性 能 ， 是 对 备用 路 径 方式 的 扩充 。 负 载 分 担 通 过 并 
行 链 路 提供 流量 分 担 来 提高 性 能 ， 其 主要 的 实现 方法 是 利用 两 个 或 多 个 网 络 接口 和 路 径 来 同时 
传递 流量 。 

关于 负载 分 担 ， 在 设计 时 主要 考虑 以 下 因素 。 

(1) 当 网 络 中 存在 备用 路 径 、 备 用 链 路 时 ， 可 以 考虑 加 入 负载 分 担 设计 。 

(2) 对 于 主 路 径 、 备 用 路 径 都 相同 的 情况 ， 可 以 实施 负载 分 担 的 特例 一 一 负载 均衡 ， 也 就 
是 多 条 路 径 上 的 流量 是 均衡 的 。 

(3) 对 于 主 路 径 、 备 用 路 径 不 相同 的 情况 ， 可 以 采用 策略 路 由 机 制 ， 让 一 部 分 应 用 的 流量 
分 挫 到 备用 路 径 上 。 
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(4) 在 路 由 算法 的 设计 上 ， 大 多 数 设备 制造 厂商 实现 的 路 由 算法 都 能 够 在 相同 带宽 的 路 径 
上 实现 负载 均衡 ,甚至 于 部 分 特殊 的 路 由 算法 , 例如 在 IGRP 和 增强 IERP 中 , 可 以 根据 主 路 径 
和 备用 路 径 的 带宽 比例 实现 负载 分 担 。 


12.6.4 “广域网 络 技术 


随 着 网 络 规模 的 不 断 发 展 ， 网 络 用 户 的 流动 性 和 地 域 分 散 特性 不 断 增加 。 远 程 企业 用 户 需 
要 借助 于 特殊 的 接 入 方式 实现 对 企业 网 络 的 访问 ， 而 城市 的 网 络 用 户 也 需要 借助 于 同样 的 技术 
实现 对 因特网 络 的 访问 ， 因 此 这 些 特殊 的 技术 主要 应 用 于 城 域 网 络 ， 可 以 被 称 为 城 域 网 远程 接 
入 技术 。 


1. 传统 的 PSTN 接 入 技术 


PSTN 接 入 技术 是 较为 经 典 的 远程 连接 技术 ， 通 过 在 客户 计算 机 和 远程 的 拨号 服务 器 之 间 
分 别 安装 调制 解 调 器 实现 数字 信号 在 模拟 语音 信道 上 的 调制 , 通过 公用 电话 网 (PSTN) 完成 数 

PSTN 接 入 的 传输 速率 较 低 ， 目 前 常见 的 速率 是 33.6kbps 或 者 56kbps。 其 中 33.6kbps 双向 
传输 速率 相同 ,而 56kbps 双向 传输 速率 不 均衡 ， 上 行为 33.6kbps。 下 行为 56kbps。 同时, PSTN 
的 接 入 速率 还 要 受 调制 解 调 器 性 能 和 电话 线路 质量 的 影响 。 

PSTN 接 入 技术 主要 使 用 两 种 协议 ， 分 别 为 PPP 和 SLIP， 其 中 ，SLIP 只 能 为 TCP/IP 协议 
提供 传输 通道 ， 而 PPP 可 以 为 多 种 网 络 协议 族 提供 传输 通道 。 因 此 ，PPP 协议 也 是 应 用 最 广 的 
协议 。 

设计 PPP 协议 时 需要 考虑 到 口令 认证 机 制 ，PPP 协议 支持 两 种 类 型 的 认证 机 制 ， 分 别 为 口 
令 认 证 协议 (PAP) 和 应 答 握手 认证 协议 (CHAP)。 其 中 ，PAP 协议 在 进行 认证 时 用 户 的 口令 
以 明文 方式 进行 传递 ,而 CHAP 则 利用 三 次 握手 和 一 个 临时 产生 的 可 变 应 答 值 来 验证 远程 节点 ， 
因此 ， 在 实际 应 用 中 应 尽量 使 用 CHAP 作为 PPP 协议 的 认证 机 制 。 

在 设计 PSTN 接 入 时 ， 需 要 在 网 络 中 添加 远程 访问 服务 器 (RAS)， 通 常 是 带 有 拨号 服务 
功能 的 路 由 器 。 这 些 路 由 器 可 以 配置 内 置 Modem 的 拨号 模块 ， 也 可 以 通过 普通 模块 连接 外 置 
Modem 池 实 现 。RAS 除了 可 以 在 自身 存储 静态 的 用 户 名 和 密码 之 外 ， 还 可 以 借助 于 RADIUS、 
TACACS 等 服务 完成 对 动态 用 户 与 口令 库 的 访问 ， 如 图 12-17 所 示 。 


2 综合 业务 数据 网 


综合 业务 数据 网 (ISDN) 是 由 地 区 电话 服务 供应 商 提供 的 数字 数据 传输 业务 ， 支 持 在 电 
话 线 上 传输 文本 、 图 像 、 视 频 、 音 乐 、 语 音 和 其 他 的 媒体 数据 。 在 ISDN 上 使 用 PPP 协议 ， 以 
实现 数据 封装 、 链 路 控制 、 口 令 认 证 和 协议 加 载 等 功能 。 
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电话 线路 | 由 以 太 网 络 线路 


2 拨号 路 由 器 框架 
= 内 置 Modem 模 块 
一 外 置 Modem 模 块 








内 部 网 交换 机 
一 -一 外 置 Modem 池 














外 置 Modem 





图 12-17 PSTN 接 入 


ISDN 提供 的 电路 包括 64kbps 的 承载 用 户 信息 信道 〈B 信道 ) 和 承载 控制 信息 信道 (D 信 
道 )， 同 时 ISDN 提供 了 两 种 用 户 接口 ， 分 别 为 基本 速率 接口 和 基 群 速率 接口 。 

基本 速率 接口 主要 用 于 个 人 用 户 的 远程 接 入 ， 基 群 速率 接口 主要 用 于 企业 或 者 团体 的 接 
入 ， 如 图 12-18 所 示 。 在 个 人 接 入 中 ， 通 过 运营 商 端 ISDN 交换 机 提供 的 接口 实现 计算 机 信号 
和 语音 信号 的 分 离 ， 计 算 机 信号 通过 PRI 接口 经 路 由 器 进入 网 络 ; 在 企业 接 入 中 ， 两 端的 路 由 
器 通过 带 有 PRI 接口 的 路 由 器 互 连 ， 完 成 了 两 个 网 络 的 连接 。 


> 问 > 信 











六 重度 依 


内 置 PRI 接 口 
路 由 器 





图 12-18 ISDN 接 入 
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3. 线 缆 调 制 解 调 器 接 入 


线 缆 调制 解 调 器 运行 在 有 线 电 视 (CATV) 使 用 的 同 轴 电线 上 ， 可 以 提供 比 传统 电话 线 更 
高 的 传输 速率 ,典型 的 CATV 网 络 系统 提供 25 一 50Mbps 的 下 行 带 宽 和 2 一 3Mbps 的 上 行 带宽 。 
同时 ， 线 线 调制 解 调 器 的 另 一 个 优势 是 不 需要 拨号 就 能 实现 远程 站 点 访问 。 

线 绕 调制 解 调 器 需要 对 传统 的 单 向 CATV 网 络 进 行 双向 改造 形成 数字 业务 网 络 , 可 以 采用 
双 缆 方式 (一 根 上 行 、 一 根 下 行 》 和 单线 方式 高 频 下 行 、 低 频 上 行 )。 运 营 商 通常 采用 混合 
光纤 / 铜 缆 (Hybrid Fiber/Coax，HFC) 系统 将 CATV 网 络 和 运营 商 的 高 速 光 纤 网 络 连接 在 一 起 。 
HFC 系统 使 用 户 能 将 计算 机 或 者 小 型 局 域 网 连接 到 用 户 的 同 轴 电 缆 上 高 速 地 访问 因特网 或 使 
用 VPN 软件 接 入 到 企业 网 络 。 

使 用 线 缆 调 制 解 调 器 远程 接 入 必须 依赖 于 运营 商 一 端的 线 缆 调 制 解 调 器 终结 设备 
(CCMTS)， 该 设备 向 大 量 的 线 缆 调 制 解 调 器 提供 高 速 连接 。 多 数 运营 商都 会 借助 于 通用 的 宽带 
路 由 器 来 实现 CMTS 功能 ， 这些 路 由 器 安装 在 运营 商 的 电缆 服务 头 端 ， 同 时 提供 计算 机 网 络 和 
PSTN 网 络 的 连接 。 

如 图 12-19 所 示 ，CMTS 的 以 太 口 可 以 直接 与 以 太 网 相连 ， 同 时 通过 中 继 线 路 连接 PSTN 
网 络 ， 将 双向 的 网 络 和 语音 信号 调制 形成 上 行 和 下 行 的 模拟 信号 ， 单 向 的 有 线 电视 下 行 信号 以 
频 分 复 用 合 入 下 行 信号 中 。 在 HFC 区 域 中 , 借助 于 光 收 发 器 、 光 电 转 换 器 等 设备 完成 信号 的 中 
继 和 传递 ,通常 光纤 采用 双 纤 ， 电 缆 采 用 单线 ， 客 户 端 采用 Cable Modem 相连 ， 并 分 解 出 有 线 
电视 、 计 算 机 网 络 和 电话 信号 。 


4. 数字 用 户 线路 远程 接 入 


数字 用 户 线路 (Digital Subscriber Line，DSL) 允许 用 户 在 传统 的 电话 线 上 提供 高 速 的 数据 
传输 ， 用 户 计算 机 借助 于 DSL 调制 解 调 器 连接 到 电话 线 上 ， 通 过 DSL 连接 访问 因特网 络 或 者 
企业 网 络 。 
DSL 采用 尖端 的 数字 调制 技术 ,可 以 提供 比 ISDN 快 得 多 的 速率 ,其 实际 速率 取决 于 DSL 
的 业务 类 型 和 很 多 物理 层 因素 ， 例 如 电话 线 的 长 度 、 线 径 、 串 扰 和 噪音 等 。 
DSL 技术 存在 多 种 类 型 ， 以 下 是 常见 的 技术 类 型 。 
。 ADSL: 非 对 称 DSL, 用 户 的 上 、 下 行 流量 不 对 称 , 一 般 具有 3 个 信道 , 分 别 为 1.544 一 
9Mbps 的 高 速 下 行 信道 ，16 一 640kbps 的 双 工 信道 ，64kbps 的 语音 信道 。 
。 SDSL: 对 称 DSL， 用 户 的 上 、 下 行 流量 对 等 ， 最 高 可 以 达到 1.544Mbps。 
。 ISDN DSL: 介 于 ISDN 和 DSL 之 间 ， 可 以 提供 最 远 距离 为 4600 一 5500m 的 128kbps 
双向 对 称 传输 。 
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图 12-19 线 费 调 制 解 调 器 远程 接 入 


。 HDSL: 高 比特 率 DSL, 是 在 两 个 线 对 上 提供 1.544Mbps 或 在 三 个 线 对 上 提供 2.048Mbps 
对 称 通 信 的 技术 , 其 最 大 特点 是 可 以 运行 在 低 质量 线路 上 , 最 大 距离 为 3700 一 4600m。 

。 VDSL: 其 高 比特 率 DSL， 一 种 快速 非 对 称 DSL 业务 ， 可 以 在 一 对 电话 线 上 提供 数据 
和 语音 业务 。 
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在 这 些 技术 中 ，ADSL 的 应 用 范围 最 广 ， 已 经 成 为 城 域 网 接 入 的 主要 技术 。 

ADSL 接 入 需要 的 设备 有 接 入 设备 〈 局 端 设 备 DSLAM 和 用 户 端 设备 ATU-R)、 用 户 线路 
和 管理 服务 器 。 其 中 , DSLAM 作为 ADSL 的 局 端 收发 传送 设备 , 主要 由 运营 商 提供 , 为 ADSL 
用 户 端 提供 接 入 和 集中 复 用 功能 ， 同 时 提供 不 对 称 数据 流 的 流量 控制 ， 用 户 可 以 通过 DSLAM 
接 入 到 了 P 等 数据 网 和 传统 的 语音 电话 网 ;用户 端 设备 ATU-R 实现 POTS 语音 与 数据 的 分 离 ， 
完成 用 户 端 ADSL 数据 的 接收 和 发 送 ， 即 ADSL Modem。ADSL 采用 双 绞 线 作 为 承载 媒介 ， 语 
音 与 数据 信号 同时 承载 在 双 绞 线 上 , 无 须 对 现 有 的 用 户 线路 进行 改造 , 有 利于 宽带 业务 的 扩展 。 
管理 服务 器 主要 是 宽带 接 入 服务 器 (BRAS)， 除 了 能 够 提供 ADSL 用 户 接 入 的 终结 、 认 证 、 计 
费 和 管理 等 基本 BRAS 业务 外 ， 还 可 以 提供 防火 墙 、 安 全 控制 、NAT 转换 、 带 宽 管理 和 流量 控 
制 等 网 络 业务 管理 功能 ， 如 图 12-20 所 示 。 




















图 12-20 ADSL 接 入 
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在 选择 城 域 网 远程 接 入 技术 时 , 主要 是 依据 现 有 城 域 网 的 建设 情况 , 并 适当 考虑 租用 经 费 。 
一 般 来 说 ， 城 域 网 的 远程 接 入 主要 是 由 电信 运营 商 提供 ， 设 计 人 员 需 要 根据 远程 用 户 的 分 布 、 
用 户 是 否 需 要 形成 专用 网 络 、 运 营 商 的 线路 铺设 和 租赁 费用 等 情况 ， 与 电信 运营 商 技术 服务 人 
员 进行 协商 和 讨论 ， 形 成 最 终 接 入 方案 。 


12.6.5 “广域网 互 连 技术 


1， 数 字数 据 网 


数字 数据 网 络 (Digital Data Network，DDN) 是 一 种 利用 数字 信道 提供 数据 信号 传输 的 数 
据 传输 网 ， 是 一 个 半 永 久 性 连接 电路 的 公共 数字 数据 传输 网 络 ， 为 用 户 提供 了 一 个 高 质量 、 高 
带宽 的 数字 传输 通道 。 

DDN 采用 同步 时 分 复 用 ， 对 各 层 协议 透明 ， 因 此 DDN 支持 任何 的 传输 规程 ，DDN 不 具 
备 交 换 功能 ， 以 点 对 点 方式 实现 半 永 久 性 的 电路 连接 ,传输 延 时 小 ; DDN 采用 数字 信道 传输 数 
据 信 号 ， 与 传输 的 模拟 信号 相 比 ， 具 有 传输 质量 高 、 速 度 快 、 带 宽 利 用 率 高 等 优点 ; DDN 的 传 
输 安 全 可 靠 ， 由 于 采用 多 路 由 的 网 状 拓扑 结构 ， 单 个 节点 的 失效 不 会 导致 整个 线路 的 中 断 。 

DDN 网 络 实行 分 级 管理 ， 其 网 络 结构 按 网 络 的 组 建 、 和 运营、 管理、 维护 的 责任 地 理 区 域 可 
以 分 为 一 级 干线 网 、 二 级 干线 网 和 本 地 网 三 级 。 一 级 干线 网 由 设置 在 各 省 、 自 治 区 和 直辖 市 的 
节点 组 成 ， 二 级 干线 网 由 设置 在 省 内 的 节点 组 成 ， 本 地 网 是 指 城市 范围 内 的 网 络 ， 由 这 些 网 络 
提供 全 国 范围 内 的 电路 连接 服务 。 

利用 DDN 网 络 实现 局 域 网 互联 时 ， 必 须 借 助 于 路 由 器 和 DDN 网 络 提供 的 数据 终端 设 
备 DTU。DTU 其 实 是 DDN 专线 的 调制 解 调 器 ， 直 接 和 DDN 网 络 通过 专线 连接 ， 如 图 12-21 
所 示 。 




















图 12-21 利用 DDN 实现 局 域 网 互 连 


DDN 网 络 可 以 为 两 个 终端 用 户 网 络 之 间 提 供 带 宽 最 低 为 9.6kbps、 最 高 为 2Mbps 的 数据 业 
务 。 虽 然 面 临 各 种 新 型 传输 技术 的 挑战 ， 但 由 于 DDN 可 以 为 任何 信号 和 传输 协议 提供 透明 传 
递 ， 至 今 为 止 DDN 仍 在 广域网 互 连 技术 应 用 中 占据 一 席 之 地 。 
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2. SDH 


SDH (Synchronous Digital Hierarchy， 同 步 数字 体系 ) 是 一 种 将 复 接 、 线 路 传输 及 交换 功 
E 融 为 一 体 ， 并 由 统一 网 管 系统 操作 的 综合 信息 传送 网 络 ， 前 身 是 美国 贝尔 通信 技术 研究 所 提 
出 来 的 同步 光 网 络 SONET)。SDH 可 实现 网 络 的 有 效 管理 、 实 时 业务 监控 、 动 态 网 络 维护 、 
不 同 厂商 设备 间 的 互通 等 多 项 功能 ， 能 大 大 提高 网 络 的 资源 利用 率 、 降 低 管理 及 维护 费用 ， 实 
现 灵活 可 靠 和 高 效 的 网 络 运行 与 维护 ， 因 此 也 是 当前 最 主要 的 运营 商 基础 设施 网 络 。 

SDH 网 络 是 基于 光纤 的 同步 数字 传输 网 络 ， 采 用 分 组 交换 和 时 分 复 用 (TDM) 技术 ， 主 
要 由 光纤 和 挂 接 在 光纤 上 的 分 插 复 用 器 (ADM)、 数 字 交 叉 连 接 (DXC)、 光 用 户 环 路 载波 系统 
(OLC) 构成 网 络 的 主体 ， 整 个 网 络 中 的 设备 由 高 准确 度 的 主 时 钟 统一 控制 。SDH 网 络 基本 的 
运行 载体 是 双向 运行 的 光纤 环 路 ,可 根据 需要 采用 单 环 、 双 环 或 者 多 环 结构 。SDH 支持 多 种 网 
络 拓扑 结构 ， 组 网 方式 非常 灵活 ， 如 图 12-22 所 示 。 

























S 
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图 12-22 SDH 网 结构 
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SDH 采用 的 信息 结构 等 级 称 为 同步 传送 模块 STM-N (Synchronous Transport, N=1, 4，16， 
64)， 最 基本 的 模块 为 STM-1，4 个 STM-1 同步 复 用 构成 STM-4，16 个 STM-1 或 4 个 STM-4 
同步 复 用 构成 STM-16.STM-1 的 传输 速率 为 155.520Mbps, 而 STM-4 的 传输 速率 为 4X 155.520= 
622.080Mbps，STM-16 的 传输 速率 为 16X155.520=2 488.320Mbps， 并 依 此 类 推 。SDH 同时 也 
可 以 提供 El1、E3 等 传统 传输 速率 服务 。 

SDH 是 主要 的 广域网 互联 技术 ， 利 用 运营 商 的 SDH 网 络 实现 互 连 ， 可 以 采用 两 种 方式 ， 
分 别 是 全 OVER SDH 和 PDH 兼容 方式 。 

(1) IPover SDH。 即 以 SDH 网 络 作 为 卫 数据 网 络 的 物理 传输 网 络 ， 并 使 用 链 路 适 配 及 成 
帧 协议 (PPP) 对 下 数据 包 进 行 封装 , 然后 按 字 节 同 步 的 方式 把 封装 后 的 导数 据 包 映 射 到 SDH 
的 同步 净 荷 封装 中 进行 连续 传输 。IP over SDH 为 PP 网 络 设备 提供 的 接口 主要 是 POS (Packet 
Over SONET/SDH) 接口 ， 该 接口 可 以 提供 STM-1 及 其 以 上 的 传输 速率 。 

(2) 准 同步 数字 系列 (Plesiochronous Digital Hierarchy, PDH) 兼容 方式 。 由 于 单纯 的 SDH 
网 络 只 能 提供 STM-1 以 上 的 传输 速率 , 而 大 多 数 用 户 并 不 需要 这 么 高 的 数据 传输 速率 , 因此 SDH 
提供 了 对 传统 PDH 的 兼容 方式 。 这 种 方式 在 SDH 中 的 最 低速 率 同步 传输 模块 STM-1 中 封装 了 
63 个 El 信道 ， 可 以 最 多 同时 向 63 个 用 户 提供 2Mbps 的 接 入 速率 。PDH 兼容 方式 可 以 提供 两 
种 方式 的 接口 : 一 是 传统 El 接口 ， 例 如 路 由 器 上 的 G703 转 V35 接口 ， 另 一 个 是 封装 了 多 个 
El 信道 的 CPOS (Channel POS)， 路 由 器 通过 一 个 CPOS 接口 接 入 SDH 网 络 ， 并 通过 封装 的 

以 上 借助 于 SDH 网 络 实现 局 域 网 络 互联 的 各 种 方式 如 图 12-23 所 示 。 
POS 模块 POS 模块 
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图 12-23 利用 SDH 网 络 实现 局 域 网 互 连 
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无 论 是 人 Pover SDH 方式 还 是 PDH 兼容 方式 ， 运 营 商都 可 以 将 线路 转换 成 以 太 网 络 链 路 ， 
以 便 向 用 户 提供 应 用 更 为 普遍 、 成 本 更 加 低廉 的 以 太 网 络 接口 。 其 中 较为 常见 的 是 将 多 条 El 
信道 转换 成 为 以 太 网 ， 例 如 两 个 局 域 网 络 之 间 通 过 4 条 El 信道 互联 ， 客 户 端的 光端机 或 者 转 
换 设备 将 4 条 El 信道 转换 成 十 兆 的 以 太 网 线路 ， 如 图 12-24 所 示 。 
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图 12-24 SDH 与 以 太 网 转换 







3. MSTP 


由 于 具有 可 靠 的 业务 保护 能 力 , SDH 技术 已 经 成 为 城 域 传输 网 的 一 种 经 典 选 择 , 但 是 SDH 
也 存在 包括 带宽 瓶颈 、 多 层 网 络 结构 指 配 过 于 复杂 以 及 支持 业务 单一 等 诸多 问题 ， 尤 其 是 对 可 
变速 率 业务 的 支持 方面 。SDH 技术 对 于 固定 速率 的 业务 〈 如 传统 话音 业务 )， 很 容易 将 其 适 配 到 
固定 容量 通道 中 ， 但 对 于 可 变速 率 VBR 业务 和 任意 速率 业务 ，SDH 则 显得 不 够 灵活 ， 特 别 是 
传送 效率 不 高 。 欧 洲 、 东 亚 及 印度 的 一 些 运营 商 已 经 在 新 建 网 络 〈 特 别 是 城 域 网 ) 中 完全 气 弃 
SDH 技术 体系 ， 但 是 目前 国内 的 SDH 网 络 已 经 庞大 得 让 传统 的 电信 运营 商 无 法 从 容 、 坦 然 地 
弃 之 而 去 ， 因 此 被 称 为 下 一 代 SDH 的 MSTP 应 运 而 生 。 

基于 SDH 的 多 业务 传送 平台 (Multi-Service Transport Platform,，MSTP) 是 指 基于 SDH 平 
台 同 时 实现 TDM、AIM、 以 太 网 等 业务 的 接 入 、 处 理 和 传送 ， 提 供 统一 网 管 的 多 业务 节点 。 
基于 SDH 的 多 业务 传送 节点 除 应 具有 标准 SDH 传送 节点 所 具有 的 功能 外 ， 还 具有 以 下 主要 功 
能 特征 。 

(1) 具有 TDM 业务 、ATM 业务 或 以 太 网 业务 的 接 入 功能 。 

(2) 具有 TDM 业务 、ATM 业务 或 以 太 网 业务 的 传送 功能 ， 包 括 点 到 点 的 透明 传送 功能 。 

(3) 具有 ATM 业务 或 以 太 网 业务 的 带宽 统计 复 用 功能 。 

(4) 具有 ATM 业务 或 以 太 网 业务 映射 到 SDH 虚 容 器 的 指 配 功能 。 

MSTP 在 网 络 互 连 领域 主要 用 于 企业 用 户 网 络 建设 和 用 户 接 入 补充 ， 其 中 ， 企 业 用 户 网 络 
建设 直接 体现 了 MSTP 多 种 业务 接 入 、 点 到 多 点 的 透明 传送 功能 。 企 业 客 户 网 络 数量 较 多 ， 地 
点 分 布 零散 ， 业 务 需求 各 不 相同 ， 如 果 把 所 有 企业 专 网 纳入 统一 的 SDH 传输 平台 ， 则 投资 成 本 
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过 高 。 用 户 可 针对 企业 网 络 业务 的 种 类 、 数 量 并 考虑 到 服务 等 级 、 投 资 成 本 等 因素 ， 分 期 、 分 
层 对 企业 网 络 进行 优化 、 改 造 ， 在 部 分 企业 专 网 中 引入 MSTP 设备 ， 采 用 环 型 和 星 型 网 络 拓扑 
结合 的 方式 逐步 实现 对 不 同等 级 客户 的 不 同 服务 质量 保障 ,MSTP 平台 可 以 提供 SDH 网 络 提供 
的 所 有 传输 带宽 ， 并 且 能 够 实现 多 个 网 络 部 分 之 间 共 享 传输 带宽 。 

具体 的 建设 方案 如 下 : 将 企业 网 络 服务 平台 划分 为 核心 层 和 接 入 层 ， 将 业务 发 展 良好 、 业 
务 集中 、 业务 种 类 复杂 的 企业 专 网 和 重点 企业 用 户 纳入 核心 层 。 通 过 对 光缆 线路 资源 进行 优化 ， 
在 核心 层 引 入 MSTP 设备 组 成 环 网 ， 建 立 专 有 的 重要 企业 业务 平台 ， 提 供 丰富 的 业务 种 类 和 可 
定制 服务 (AIM、Ethemet 以 及 2M 专线 等 业务 )， 网 络 的 结构 、 容 量 、 管 理 和 发 展 均 以 满足 重 
点 企业 业务 的 开展 为 基准 。 将 业务 数量 少 、 业 务 种 类 较 单 一 、 节 点 多 且 分 布 零散 的 企业 分 支 机 
构 及 小 型 企业 纳入 接 入 层 。 出 于 成 本 考虑 ， 接 入 层 仍 保持 星 型 组 网 或 光纤 直 连 方式 ， 今 后 可 根 
据 客户 业务 的 发 展 逐 步 进 行 改造 。 

图 12-25 是 利用 MSTP 技术 实现 一 个 企业 不 同 局 域 网 络 之 间 连 接 的 示例 。MSTP 设备 借助 
于 SDH 网 络 提 供 的 链 路 形成 MSTP 业务 环 , 企业 的 不 同 局 域 网 借助 于 路 由 器 之 间接 入 到 MSTP 
设备 的 以 太 网 接口 。 这 些 企业 网 络 所 有 的 局 域 网 之 间 的 连接 并 不 需要 占用 多 个 SDH 信道 ， 而 是 
共享 一 个 传统 SDH 信道 的 带宽 ， 通 过 这 种 方式 ， 可 以 避免 企业 网 络 连接 对 SDH 网 络 资源 的 大 
量 浪费 。 同 时 ， 由 于 各 个 局 域 网 络 之 间 访 问 的 透明 性 、 随 机 性 和 不 确定 性 ， 企 业 用 户 的 网 络 感 
受 和 传统 SDH 互 连 方式 区 别 不 大 。 
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图 12-25 ”利用 MSTP 平台 实现 局 域 网 互 连 
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4. 传统 VPN 技术 


虚拟 专用 网 是 通过 公共 网 络 实现 远程 用 户 或 远程 局 域 网 之 间 的 互 连 ， 主 要 采用 隧道 技术 ， 
让 报 文通 过 Internet 或 其 他 商用 网 络 等 公共 网 络 进行 传输 。 由 于 隧道 是 专用 的 ， 使 得 通过 公共 网 
络 的 专用 隧道 进行 报 文 传输 的 过 程 和 通过 专用 的 点 对 点 链 路 进行 报 文 传输 的 过 程 非常 相似 ， 由 
于 公共 网 络 可 以 同时 具有 多 条 专用 隧道 ， 因 而 就 可 以 同时 实现 多 组 点 对 点 报 文 传输 。 

传统 的 VPN 技术 主要 是 基于 实现 数据 安全 传输 的 协议 来 完成 ， 主 要 包括 两 个 层次 的 数据 
安全 传输 协议 ， 分 别 为 二 层 协 议和 三 层 协议 。 二 层 协议 主要 是 对 传统 拨号 协议 PPP 的 扩展 ， 通 
过 定义 多 协议 跨越 第 二 层 点 对 点 链接 的 一 个 封装 机 制 来 整合 多 协议 拨号 服务 至 现 有 的 因特网 
服务 供应 商 ， 保 证 分 散 的 远程 客户 端 通过 隧道 方式 经 由 Intemet 等 网 络 访问 企业 内 部 网 络 。 其 
典型 协议 为 L2TP， 主 要 用 于 利用 拨号 系统 实现 远程 用 户 安全 接 入 企业 网 络 。 三 层 协 议 主要 定义 
了 在 一 种 网 络 层 协议 上 封装 另 一 个 协议 的 规范 ， 通 过 对 需要 传递 的 业务 数据 的 网 络 层 分 组 进行 
封装 ， 封 装 后 的 分 组 仍然 是 一 个 网 络 层 分 组 ， 可 以 在 VPN 寄生 的 网 络 上 进行 传递 ， 使 得 各 个 
VPN 部 分 之 间 可 以 借助 于 隧道 进行 通信 。 典 型 的 三 层 协 议 包 括 IPSec 和 GRE， 其 中 ，IPSec 主 
要 是 在 也 协议 上 实现 封装 ，GRE 是 一 种 规范 ， 可 以 适用 于 多 种 协议 的 封装 。 

基于 三 层 协议 的 VPN 技术 主要 用 于 企业 各 局 域 网 络 之 间 的 连接 ， 分 为 点 对 点 方式 和 中 心 
辐射 状 方式 ， 如 图 12-26 所 示 。 在 点 对 点 方式 Point-to-Point) 下 ， 两 个 分 支局 域 网 络 边界 上 





VPN 网 关 或 带 有 VPN 功 
能 的 防火 墙 、 路 由 器 


点 对 点 方式 中 心 辐 射 状 方式 
图 12-26 利用 三 层 VPN 技术 实现 局 域 网 络 互 连 
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部 署 VPN 网 关 或 者 是 带 有 VPN 功能 的 防火 墙 、 路 由 器 ， 这 些 VPN 网 关 通 过 物理 链 路 接 入 因 
特 网 ， 并 由 IPSec 协议 或 GRE 协议 形成 两 个 路 由 器 之 间 的 逻辑 隧道 , 实现 局 域 网 络 之 间 的 数据 
传递 ， 在 中 心 辐射 状 方式 〈Hub-and-Spoke) 下 ， 核 心 局 域 网 和 各 分 支局 域 网 的 边界 上 都 部 署 
VPN 网 关 ， 核心 局 域 网 路 由 器 和 每 个 分 支局 域 网 路 由 器 之 间 建 立 逻 辑 隧道 , 完成 多 个 局 域 网 分 
支 的 互 连 ， 分 支局 域 网 之 间 的 访问 需要 经 过 中 心 局 域 网 的 转发 。 


S， MPLS VPN 技术 


MPLS 用 定 长 的 标签 来 封装 分 组 ， 在 各 种 链 路 层 ( 如 PPP、AIM、 帧 中 继 和 以 太 网 等 ) 服 
务 的 基础 上 在 网 络 层 提供 面向 连接 的 服务 。MPLS 支持 各 种 路 由 协议 和 控制 协议 ， 也 支持 基于 
策略 的 约束 路 由 ， 路 由 功能 强大 、 灵 活 ， 可 以 满足 各 种 新 应 用 对 网 络 的 要 求 。 

MPLS 技术 主要 是 为 了 提高 路 由 器 转发 速度 而 提出 的 ， 其 核心 思想 是 利用 标签 交换 取代 复 
杂 的 路 由 运算 和 路 由 交换 。 该 技术 实现 的 核心 就 是 在 卫 数据 包 之 外 封装 一 个 32 位 的 MPLS 包 
头 。MPLS 体系 中 的 各 个 路 由 设备 将 根据 MPLS 包头 中 的 标签 进行 转发 ， 而 不 是 传统 方式 下 根 
据 卫 包头 中 的 目标 地 址 来 转发 。MPLS 标签 栈 可 以 无 限 嵌 套 ， 从 而 提供 无 限 的 业务 支持 能 力 ， 
而 MPLS VPN 就 是 一 个 典型 的 标签 岩 套 应 用 。 

MPLS VPN 是 在 网 络 路 由 和 交换 设备 上 应 用 MPLS 技术 ， 简 化 核心 路 由 器 的 路 由 选择 方 
式 ， 结 合 传统 路 由 技术 的 标记 交换 实现 的 中 虚拟 专用 网 络 ， 可 用 来 构造 合适 带宽 的 企业 网 络 、 
专用 网 络 ， 满 足 多 种 灵活 的 业务 需求 。 采 用 MPLS VPN 技术 可 以 把 现 有 的 卫 网 络 分 解 成 迪 辑 
上 隔离 的 网 络 ， 用 于 解决 企业 网 互 连 和 政府 部 门 网 络 间 的 互 连 ， 也 可 以 用 来 提供 新 的 业务 ， 为 
解决 下 网 络 地 址 不 足 、QoS 需求 和 专用 网 络 需求 提供 较 好 的 解决 方案 , 因此 也 成 为 新 型 电信 运 
营 商 提供 局 域 网 络 互 连 服务 的 主要 手段 。 

一 个 典型 的 MPLS VPN 承载 平台 如 图 12-27 所 示 。 承载 平台 上 的 设备 主要 由 各 类 路 由 器 组 
成 , 这 些 路 由 器 在 MPLS VPN 平台 中 的 角色 各 不 相同 , 分 别 被 称 为 P 设备 、 PE 设备 、CE 设备 。 
P (Provider Router) 路 由 器 是 MPLS 核心 网 中 的 路 由 器 ， 这 些 路 由 器 只 负责 依据 MPLS 标签 完 
成 数据 包 的 高 速 转发 ， PE (Provider Edge Router) 路 由 器 是 MPLS 核心 网 上 的 边缘 路 由 器 ， 与 
用 户 的 CE 路 由 器 互 连 , PE 设备 负责 待 传送 数据 包 的 MPLS 标签 的 生成 和 弹出 ， 负 责 将 数据 包 
按 标签 发 送 给 P 路 由 器 或 接收 来 自 P 路 由 器 的 包含 标签 的 数据 包 ，PE 路 由 器 还 将 发 起 根据 路 
由 建立 交换 标签 的 动作 ; CE (Custom Edge) 路 由 器 是 直接 与 电信 运营 商 相连 的 用 户 端 路 由 器 ， 
该 设备 上 不 存在 任何 带 有 标签 的 数据 包 ，CE 路 由 器 将 用 户 网 络 的 信息 发 送 给 PE 路 由 器 ， 以 便 
于 在 MPLS 平台 上 进行 路 由 信息 的 处 理 。 

如 图 12-27 所 示 ， 一 个 企业 可 以 借助 于 MPLS VPN 承载 平台 将 由 不 同 CE 路 由 器 连接 的 局 
域 网 络 互 连 起 来 形成 一 个 完整 的 企业 网 络 。 在 这 个 MPLS VPN 平台 上 , 可 以 存在 多 个 企业 网 络 ， 
这 些 网 络 之 间 除 非特 殊 设置 ， 否 则 相互 之 间 是 逻辑 隔离 的 ， 不 同 企业 网 络 之 间 不 能 直接 互 访 。 
用 户 网 络 只 需要 提供 CE 路 由 器 ， 并 连接 到 PE 路 由 器 ， 由 平台 管理 员 完 成 VPN 的 互 连 工作 。 
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PE 路 由 器 可 以 同时 和 多 个 CE 路 由 器 建立 物理 连接 , 也 可 以 借助 于 支持 MPLS 协议 的 交换 机 通 
过 VLAN 技术 实现 和 多 个 CE 路 由 器 的 互 连 ， 从 而 保证 多 个 用 户 网 络 的 接 入 。 





图 12-27 MPLS VPN 承载 平台 


12.6.6 ”安全 运行 与 维护 


1. 信息 安全 风险 评估 工作 


1) 风险 评估 的 对 象 

安全 风险 评估 的 对 象 如 下 。 
。 ”网络 结 构 。 

。 ”网络 系统 及 设备 。 

。 ”应 用 系统 。 

。 管理 制度 。 


。 员 意 识 与 技能 。 
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。 ”安全 产品 和 技术 应 用 状况 。 

。 ”安全 事件 处 理 能 力 。 

2) 评估 方法 

评估 方法 如 下 。 

。 ”安全 管理 审计 。 

。 工具 扫描 。 

。 网络 架 构 评估 。 

。 应 用 系统 评估 。 

。 主机 设备 和 平台 安全 配置 检查 。 
。 ”渗透 测试 和 分 析 。 

3) 评估 要 求 

安全 风险 评估 服务 是 网 络 安 全 服务 的 一 个 重要 环节 ， 每 年 应 进行 一 次 信息 安全 风险 评估 。 


为 避免 出 现 重大 的 安全 漏洞 和 隐患 ， 可 以 在 自行 评估 的 基础 上 定期 或 不 定期 地 委托 具备 资格 的 
信息 安全 风险 评测 机 构 进行 评估 。 


案 。 


2 应急 服务 


1) 应 急 响 应 

应 急 响 应 应 达到 以 下 要 求 。 

e ”设立 应 急 响应 中 心 ， 合 理 安排 应 急 响 应 人 员 ; 

。 ”应 针对 各 种 可 能 情况 制定 合理 的 应 急 响 应 预案 ; 

。 ”应 制定 详细 合理 的 应 急 响 应 计划 。 

应 急 预 案 的 执行 单位 可 由 网 络 管理 中 心 相关 部 门 执行 ， 也 可 委托 公司 、 大 学 或 研究 机 构 完 


。 受 委托 单位 应 是 具有 相关 安全 资质 的 中 资 机 构 。 


2) 应 急 预 案 的 制定 
为 保证 在 发 生 各 种 信息 安全 事件 情况 下 能 够 从 容 处 理 并 解决 安全 事件 ， 要 求 制定 应 急 预 
制定 应 急 响应 预案 首先 应 建立 应 急 处 理工 作 小 组 ， 负 责 预 案 的 落实 ， 并 且 保 证 预案 的 传达 


与 实施 ， 应 急 预 案 要 在 相关 部 门 或 上 级 部 门 进行 备案 。 预 案 的 制定 应 符合 以 下 要 求 。 


。 ”应急 预案 应 根据 电子 政务 网 实际 情况 制定 ， 必 须 切实 有 效 ， 可 操作 性 强 ; 

。 应 急 预 案 的 制定 和 实施 中 明确 各 个 部 门 的 职责 ， 责 任 落实 到 岗 、 到 人 ; 

。 确定 应 急事 件 的 风险 优先 次 序 ， 对 于 高 风险 的 应 急事 件 ， 优 先 制定 应 急 预 案 ; 
。 全 面 分 析 系 统 运行 、 信 息 内 容 和 网 络 的 管理 与 控制 等 方面 的 安全 威胁 ; 

。 ”完善 应 急 预 案 所 需 的 备用 资源 ， 包 括 备用 的 软件 、 设 备 以 及 人 员 ; 

。 ”对 每 种 应 急事 件 建立 应 急 响 应 流程 ; 
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。 不 能 判断 事件 发 生 原因 时 ， 一 定 要 保留 现场 ， 保 留 痕迹 ， 以 便 追 查 原因 ; 

。 重大 事件 要 上 报 有 关 部 门 ， 直 至 追究 行政 或 刑事 责任 ; 

。 ”对 预想 到 的 事件 要 事先 积极 采取 管理 和 技术 措施 尽早 解决 ; 

。 ”应 急 预 案 应 经 常 进行 培训 和 演练 。 

3) 应 急 预 案 的 内 容 

应 急 预 案 应 包括 以 下 内 容 。 

。 标题 。 包 括 应 急事 件 的 名 称 、 事 件 编号 以 及 事件 处 理 的 优先 等 级 。 

。 事件 描述 。 包 括 应 急事 件 发 生 的 背景 、 现 象 、 可 能 的 影响 以 及 影响 范围 。 

。 涉及 范围 。 包 括 应 急 处 理工 作 组 人 员 与 部 门 职责 。 

。 ”处 理 概述 。 包 括 描述 事件 处 理 的 主要 环节 和 要 点 。 

。 ”处 理 流程 。 包 括 用 流程 图 简 述 处 理 过程 。 

。 流程 说 明 。 包 括 针 对 流程 图 的 每 个 步骤 ， 详 细 描 述 涉及 的 具体 人 员 、 操 作对 象 〈 如 设 
备 端口 号 、IP 地 址 、 主 机 名 、 文 件 名 、 备 份 介质 编号 与 存放 地 点 等 )、 操 作 命令 和 使 
用 的 工具 等 。 

。 演练 计划 。 包 括 预演 环境 的 建立 、 参 与 人 员 、 时 间 与 地 点 ， 对 上 述 处 理 流程 实际 操作 ， 
验证 预案 的 合理 性 ， 增 强 时 间 处 理 的 熟练 与 可 靠 性 。 

。 参与 人 员 。 包 括 编制 人 、 预 案 人 与 审批 人 ， 以 及 需要 抄 送 的 部 门 。 

4) 应 急 预 案 的 流程 

安全 事件 应 急 处 理 的 标准 流程 如 图 12-28 所 示 。 

5) 应 急 响 应 步骤 

安全 事件 或 事故 发 生 后， 应 急 中 心 根据 应 急 预 案 进行 更 具体 的 应 急 响应 步骤 。 当 入 侵 或 破 

坏 发 生 时 ， 对 应 的 处 理 步 骤 如 下 。 

(1) 保护 或 恢复 计算 机 、 网 络 服务 的 正常 工作 ， 进 行 应 急 准 备 。 

。 ”为 一 个 突 发 事件 的 处 理 取得 管理 方面 支持 ; 

。 组 建 事件 处 理 队伍 〈1 一 10 人 ); 

。 ”提供 易 实现 的 初步 报告 。 

(2) 追查 入 侵 者 ， 识 别 事件 (判定 安全 事件 类 型 )。 

。 初步 评估 ， 确 定 事 件 来 源 ; 

。 保护 可 追查 的 线索 ， 立 即 在 磁带 上 或 其 他 不 联机 存储 设备 上 备份 日 志 数 据 。 

(3) 抑制 缩小 事件 的 影响 范围 。 

。 确定 系统 继续 运行 的 风险 如 何 ， 决 定 是 否 关 闭 系 统 及 其 他 措施 ; 

。 根据 需求 制定 相应 的 应 急 措施 。 
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紧急 响应 申请 


















通报 各 单位 


(4) 解决 、 恢 复 以 及 跟踪 问题 。 

。 事件 的 起 因 分 析 、 取 证 追查 

。 ”漏洞 分 析 、 后 门 检查 

。 ”提供 解决 方案 ， 将 结果 提交 专家 小 组 或 上 级 领导 审核 。 
(5) 后 续 工作 。 

检查 是 不 是 所 有 的 服务 都 已 经 恢复 ; 

攻击 者 所 利用 的 漏洞 是 否 已 经 解决 ; 

其 发 生 的 原因 是 否 已 经 处 理 ; 

保险 措施 、 法 律 声 明 等 手续 是 否 已 经 归档 ; 
应 急 响 应 步 又 是 否 需 要 修改 ; 
生成 紧急 响应 报告 ; 

拟定 一 份 事 件 记录 和 跟踪 报告 ; 

输入 专家 信息 知识 库 。 


3. 安全 监控 与 管理 服务 
(1) 部 署 要 求 。 安 全 监控 与 管理 是 通过 统一 集中 的 安全 管理 机 制 来 总 体 配置 、 调 控 整 


图 12-28 应急 预案 的 标准 流程 
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个 网 络 多 层面 、 分 布 式 的 安全 系统 ， 提 高 安全 预警 能 力 ， 加 强 安全 应 急事 件 的 处 理 能 
应 符合 以 下 要 求 。 
。 以 分 布 式 的 体系 架构 来 实现 监测 和 管理 功能 ， 在 省 电子 政务 网 核心 局 域 网 以 及 市 、 州 
政务 网 络 中 心 分 别 部 署 两 级 监控 管理 中 心 。 
。 每 一 级 设置 独立 的 数据 库 ， 下 级 网 管 能 够 主动 或 被 动 地 将 部 分 或 全 部 数据 上 传 到 上 级 


系统 。 
。 上 级 管理 节点 能 对 下 级 管理 节点 进行 配置 和 监测 数据 同步 ， 支 持 上 级 管理 节点 对 下 级 
管理 节点 的 远程 管理 。 


。 管理 功能 集成 于 一 个 管理 平台 ， 统 一 于 一 个 管理 图 形 界面 。 

。 可 监测 和 管理 网 络 、 应 用 系统 和 运行 环境 ， 形 成 一 套 统 一 的 网 络 与 应 用 系统 状态 管理 
体系 。 

(2) 监控 功能 要 求 。 监 控 功 能 应 符合 以 下 要 求 。 

。 ”应 能 够 采集 网 络 设备 、 安 全 设备 、 服 务 器 和 应 用 系统 等 的 运行 状态 、 性 能 、 故 障 和 事 
件 信息 。 

。 ”应 能 对 安全 事件 进行 过 滤 、 关 联 分 析 和 告警 。 

。 应 能 对 网 络 、 主 机 、 数 据 库 、 中 间 件 、 安 全 设备 和 应 用 系统 等 IT 资产 进行 集中 、 统 一 
管理 。 

。 ”安全 事件 处 理 和 风险 分 析 功 能 。 

。 ”可 以 统计 分 析 所 有 事件 、 风 险 、 通 知 、 资 产 和 其 他 资源 ， 能 够 创建 报表 。 

(3) 管理 功能 应 符合 以 下 要 求 。 

。 ”运行 值班 管理 。 

。 事件 告警 处 理 。 

。 ”运行 维护 管理 。 





设备 辅助 信息 管理 。 
事件 统计 与 运行 考核 管理 。 
。 告警 事件 处 理 知识 管理 。 
(4) 规模 要 求 。 大 型 网 络 需要 部 署 安全 监控 与 管理 平台 ， 中 型 网 络 的 核心 网 络 需要 部 署 安 
全 监控 与 管理 平台 。 


4. 其 他 安全 服务 


(1) 定期 安全 巡 检 。 大 中 型 网 络 应 每 月 进行 一 次 巡 检 ， 虽 在 发 现 系统 运行 过 程 中 是 否 有 新 
的 风险 出 现 ， 确 定 如 何 修补 的 方案 ， 并 对 系统 进行 加 固 。 

(2) 安全 加 固 服务 。 应 当 对 网 络 平台 中 的 重要 应 用 服务 器 定期 进行 安全 加 固 服务 。 在 加 固 
之 前 需要 进行 安全 评估 ， 并 针对 安全 评估 后 的 结果 修补 系统 的 漏洞 ， 加 强 系统 的 安全 配置 ， 进 
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行 全 面 系 统 的 加 固 工作 。 大 中 型 网 络 宜 每 季度 进行 一 次 ， 小 型 网 络 应 每 半年 进行 一 次 。 

(3) 安全 信息 通告 服务 。 网 络 平台 ， 尤 其 是 大 型 网 络 平台 ， 应 进行 定期 的 安全 信息 通告 服 
务 。 安 全 信息 中 应 包括 最 新 的 安全 公告 、 病 毒 信息 和 漏洞 信息 等 内 容 。 安 全 通告 服务 以 邮件 、 
电话 和 走访 等 方式 将 安全 技术 和 安全 信息 及 时 传递 给 客户 。 

(4) 安全 培训 。 建 立信 息 安全 保障 体系 还 要 注重 信息 安全 人 才 的 教育 与 培养 。 信 息 安全 的 
保障 是 靠 人 、 技 术 和 管理 共同 来 实现 的 ， 人 员 的 安全 意识 和 安全 技术 水 平 将 直接 影响 到 整个 信 
息 安 全 系统 的 有 效 利用 。 


12.7 ”网 络 故障 诊断 与 故障 排除 工具 


网 络 环境 越 复杂 ， 发 生 故 障 的 可 能 性 就 越 大 ， 引 发 故障 的 原因 也 就 越 难 确定 。 网 络 故障 往 
往 具有 特定 的 故障 现象 ， 这 些 现 象 可 能 比较 笼统 ， 也 可 能 比较 特殊 。 利 用 特定 的 故障 排除 工具 
及 技巧 在 具体 的 网 络 环境 下 观察 故障 现象 ， 细 致 分 析 ， 最 终 必然 可 以 查找 出 一 个 或 多 个 引发 故 
障 的 原因 。 一 旦 能 够 确定 引发 故障 的 根源 , 那么 故障 都 可 以 通过 一 系列 的 步骤 得 到 有 效 的 处 理 。 


12.7.1 网 络 故障 诊断 


在 排除 网 络 中 出 现 的 故障 时 ， 使 用 非 系统 化 的 方法 可 能 会 浪费 大 量 宝贵 的 时 间 及 资源 ， 事 
倍 功 半 ， 使 用 系统 化 的 方法 往往 更 为 有 效 。 系 统 化 的 方法 流程 如 下 : 定义 特定 的 故障 现象 ， 根 
据 特 定 现象 推断 出 可 能 发 生 故障 的 所 有 潜在 问题 ， 直 到 故障 现象 不 再 出 现 为 止 。 

图 12-29 给 出 了 一 般 故障 排除 模型 的 处 理 流程 。 这 一 流程 并 不 是 解决 网 络 故 障 时 必须 严格 
遵守 的 步 又， 只 是 为 建立 特定 网 络 环境 中 故障 排除 的 流程 提供 了 基础 。 

(1) 在 分 析 网 络 故障 时 ， 要 对 网 络 故 障 有 个 清晰 的 描述 ， 并 根据 故障 的 一 系列 现象 以 及 潜 
在 的 症结 来 对 其 进行 准确 的 定义 。 

如 果 要 对 网 络 故障 做 出 准确 的 分 析 ， 首 先 应 该 了 解 故障 表现 出 来 的 各 种 现象 ， 然 后 确定 可 
能 会 产生 这 些 现象 的 故障 根源 或 现象 。 例 如 ， 主 机 没有 对 客户 端的 服务 请 求 做 出 响应 (一 种 故 
障 现象 )， 可 能 产生 这 一 现象 的 原因 主要 包括 主机 配置 错误 、 网 络 接口 卡 损坏 或 路 由 器 配置 不 
正确 等 。 

(2) 收集 有 助 于 确定 故障 症结 的 各 种 信息 。 向 受 故 障 影响 的 用 户 、 网 络 管理 员 、 经 理 及 其 
他 关键 人 员 询问 详细 的 情况 ， 从 网 络 管理 系统 、 协 议 分 析 仪 的 跟踪 记录 、 路 由 器 诊断 命令 的 输 
出 信息 以 及 软件 发 行 注 释 信 息 等 信息 源 中 收集 有 用 的 信息 。 

(3) 依据 所 收集 到 的 各 种 信息 考虑 可 能 引发 故障 的 症结 。 利 用 所 收集 到 的 这 些 信息 可 以 排 
除 一 些 可 能 引发 故障 的 原因 。 例 如 ， 根 据 收集 到 的 信息 也 许可 以 排除 硬件 出 现 问题 的 可 能 性 ， 
于 是 就 可 以 把 关注 的 焦点 放 在 软件 问题 上 。 并 且 ， 应 该 充分 地 利用 每 一 条 有 用 的 信息 ， 尽 可 能 
地 缩小 目标 范围 ， 从 而 制定 出 高 效 的 故障 排除 方法 。 
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故障 定义 


一 -| 收集 信息 ] 
1 
根据 情况 ， 分 析 原因 | 

















建立 行动 计划 | 


1 
实施 行动 计划 


观察 结果 











现象 消失 












问题 被 解决 ， 终 止 进程 


图 12-29 一 般 性 故障 问题 的 解决 模型 





(4) 根据 剩余 的 潜在 症结 制定 故障 的 排查 计划 。 从 最 有 可 能 的 症结 入 手 ， 每 次 只 做 一 处 
改动 。 

之 所 以 每 次 只 做 一 处 改动 ， 是 因为 这 样 有 助 于 确定 针对 固定 故障 的 排除 方法 。 如 果 同 时 做 
了 两 处 或 多 处 改动 ， 也 许 能 排除 故障 ， 但 是 难以 确定 到 底 是 哪些 改动 消除 了 故障 现象 ， 而 且 对 
日 后 解决 同样 的 故障 也 没有 太 大 的 帮助 。 

(5) 实施 制定 好 的 故障 排除 计划 ， 认 真 执行 每 一 步骤 ， 同 时 进行 测试 ， 查 看 相应 的 现象 是 
否 消失 。 

(6) 当做 出 一 处 改动 时 ， 要 注意 收集 相应 操作 的 反馈 信息 。 通 常 应 该 采用 在 步骤 〈2) 中 
使 用 的 方法 〈 利 用 诊断 工具 并 与 相关 人 员 密 切 配 合 ) 进行 信息 的 收集 工作 。 

(7) 分 析 相 应 操作 的 结果 ， 并 确定 故障 是 否 已 被 排除 。 如 果 故 障 已 被 排除 ， 那 么 整个 流程 
到 此 结束 。 

(8) 如 果 故 障 依然 在 在， 就 得 针对 剩余 的 潜在 症结 中 最 可 能 的 一 个 制定 相应 的 故障 排除 计 
划 。 回 到 步骤 (4)， 依 旧 每 次 只 做 一 处 改动 ， 重 复 此 过 程 ， 直 到 故障 被 排除 为 止 。 

如 果 能 提前 为 网 络 故障 做 好 准备 工作 ， 那 么 网 络 故障 的 排除 也 就 变 得 比较 容易 了 。 对 于 各 
种 网 络 环境 来 说 ， 最 为 重要 的 是 保证 网 络 维护 人 员 总 能 够 获得 有 关 网 络 当前 情况 的 准确 信息 。 
只 有 利用 完整 、 准 确 的 信息 才能 够 对 网 络 的 变动 做 出 明智 的 决策 ， 才 能 够 尽快 、 尽 可 能 简单 地 
排除 故障 。 因 此 ， 在 网 络 故 障 的 排除 过 程 中 ， 最 为 关键 的 是 确保 当前 掌握 的 信息 及 资料 是 最 
新 的 。 

对 于 每 个 已 经 解决 的 问题 ， 一 定 要 记录 其 故障 现象 以 及 相应 的 解决 方案 。 这样， 就 可 以 建 
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立 一 个 问题 /回答 数据 库 , 今后 发 生 类 似 的 情况 时 ， 公 司 里 的 其 他 人 员 也 能 参考 这 些 案例 ， 从 而 
极 大 地 降低 对 网 络 进行 故障 排除 的 时 间 ， 最 小 化 对 业务 的 负面 影响 。 


12.7.2 “网络 故障 排除 工具 


排除 网 络 故障 的 常用 工具 有 多 种 ， 总 的 来 说 可 以 分 为 三 类 : 设备 或 系统 诊断 命令 、 网 络 管 
理工 具 以 及 专用 故障 排除 工具 。 


1. 设备 或 系统 诊断 命令 


许多 网 络 设备 及 系统 本 身 提供 了 大 量 的 集成 命令 来 帮助 监视 并 对 网 络 进行 故障 排除 。 一 些 
常用 的 诊断 命令 如 下 。 
。 ”show: 可 以 用 于 监测 系统 的 安装 情况 与 网 络 的 正常 运行 状况 ， 也 可 以 用 于 对 故障 
的 定位 。 
。 debug: 帮助 分 离 协议 和 配置 问题 。 
。 ping: 用 于 检测 网 络 上 不 同 设备 之 间 的 连通 性 。 
。 trace: 可 以 用 于 确定 数据 包 在 从 一 个 设备 到 另 一 个 设备 直至 目的 地 的 过 程 中 所 经 过 的 


2. 网 络 管理 工具 


一 些 厂商 推出 的 网 络 管理 工具 (如 Cisco Works、HP OpenView 等 ) 都 含有 监测 以 及 故障 排 
除 功 能 ， 这 有 助 于 对 网 络 互联 环境 的 管理 和 故障 的 及 时 排除 。 


3. 专用 故障 排除 工具 


在 许多 情况 下 ， 专 用 故障 排除 工具 可 能 比 设备 或 系统 中 集成 的 命令 更 有 效 。 例 如 ， 在 网 络 
通信 和 负载 繁重 的 环境 中 ， 运 行 需要 占用 大 量 处 理 器 时 间 的 debug 命令 将 会 对 整个 网 络 造成 巨大 
的 影响 。 然 而 ， 如 果 在 “可 疑 ”的 网 络 上 接 入 一 台 网 络 分 析 仪 ， 就 可 以 尽 可 能 少 地 干扰 网 络 的 
正常 工作 ， 并 且 很 有 可 能 在 不 打 断 网 络 正常 工作 的 情况 下 获取 到 有 用 的 信息 。 下 面 为 一 些 典 型 
的 用 于 排除 网 络 故 障 的 专用 工具 。 

1) 欧姆 表 、 数 字 万 用 表 及 电缆 测试 器 

欧姆 表 、 数 字 万 用 表 属 于 电缆 检测 工具 中 比较 低档 的 一 类 。 这 类 设备 能 够 测量 诸如 交 直 流 
电压 、 电 流 、 电 阻 、 电 容 以 及 电缆 连续 性 之 类 的 参数 。 利 用 这 些 参数 可 以 检测 电费 的 物理 连 
通 性 。 

电线 测试 器 (扫描 器 》 也 可 以 用 于 检测 电缆 的 物理 连通 性 。 电 缆 测试 器 适用 于 屏蔽 双 绞 线 
(STP)、 非 屏蔽 双 绞 线 (UTP)、10BaseT、 同 轴 电 缆 及 双 芯 同 轴 电 缆 等 。 通 常 ， 电 缆 测试 器 能 
够 提供 下 述 的 任 一 功能 。 





Xl 


域 


第 12 章 网 络 规划 和 设计 “ 胃 6%7 苦 


。 测试 并 报告 电缆 状况 ， 其 中 包括 近 端 串 音 (near end crosstalk，NEXT)、 信 号 衰减 及 

噪音 。 

。 实现 TDR、 通 信 检 测 及 布线 图 功能 。 

。 ”显示 局 域 网 通信 中 媒体 访问 控制 层 的 信息 ， 提 供 诸如 网 络 利 用 率 、 数 据 包 出 错 率 之 类 

的 统计 信息 ， 完 成 有 限 的 协议 测试 功能 (例如 ，TCP/IP 网 络 中 的 ping 测试 )。 

对 于 光缆 而 言 ， 也 有 类 似 的 测试 设备 。 由 于 光缆 的 造价 及 其 安装 的 成 本 相对 较 高 ， 因 此 在 
光缆 的 安装 前 后 都 应 该 对 其 进行 检测 。 对 光纤 连续 性 的 测试 需要 使 用 可 见 光 源 或 反射 计 。 光 源 
应 该 能 够 提供 3 种 主要 波长 〈 即 850nm、1300nm 和 1550nm) 的 光线 ， 配 合 能 够 测量 同样 波长 
的 功率 计 一 起 使 用 ， 便 可 以 测 出 光纤 传输 中 的 信号 衰减 与 回程 损耗 。 

2) 时 域 反射 计 与 光 时 域 反射 计 

电缆 检测 工具 中 比较 高 档 的 是 时 域 反 射 计 (Time Domain Reflectors，TDR)， 这 种 设备 能 够 
快速 地 定位 金属 电缆 中 的 断路 、 短 路 、 压 接 、 扭 结 、 阻 抗 不 匹配 及 其 他 问题 。 

TDR 的 工作 原理 基于 信号 在 电缆 末端 的 振动 。 电 线 的 断路 、 短 路 及 其 他 问题 会 导致 信号 以 
不 同 的 幅度 反射 回来 , TDR 通过 测试 信号 反射 回来 所 需要 的 时 间 就 可 以 计算 出 电缆 中 出 现 故 障 
的 位 置 。TDR 还 可 以 用 于 测量 电缆 的 长 度 。 有 些 TDR 还 可 以 基于 给 定 的 电缆 长 度 计算 出 信号 
的 传播 速度 。 

对 于 光纤 的 测试 ， 则 需要 使 用 光 时 域 反 射 计 (Optical Time Domain Reflectors,，OTDR)。 
OTDR 可 以 精确 地 测量 光纤 的 长 度 、 定 位 光纤 的 断裂 处 、 测 量 光 纤 的 信号 衰减 、 测 量 接头 或 连 
接 器 造成 的 损耗 。OTDR 还 可 以 用 于 记录 特定 安装 方式 的 参数 信息 (例如 信号 的 衰减 以 及 接头 
造成 的 损耗 等 )。 以 后 当 怀疑 网 络 出 现 故 障 时 ， 可 以 利用 OTDR 测量 这 些 参 数 并 与 原先 记录 的 
信息 进行 比较 。 

3) 断 接 盒 、 智 能 测试 盘 和 位 /数据 块 错误 测试 器 

断 接 盒 breakout boxes)、 智 能 测试 盘 和 位 /数据 块 错误 测试 器 (BERT/BLERT) 是 用 于 测 
量 PC、 打 印 机 、 调 制 解 调 器 、 信 道 服务 设备 /数字 服务 设备 〈《CSU/DSU) 以 及 其 他 外 围 接 口 数 
字 信号 的 数字 接口 测试 工具 。 这 类 设备 可 以 监测 数据 线路 的 状态 ， 捕 获 并 分 析 数 据 ， 诊 断 数 据 
通信 系统 中 常见 的 故障 。 通 过 监测 从 数据 终端 设备 到 数据 通信 设备 的 数据 通信 ， 可 以 发 现 潜在 
的 问题 、 确 定位 组 合 模式 、 确 保 电缆 铺设 结构 的 正确 。 这 类 设备 无 法 测试 诸如 以 太 网 、 令 牌 环 
网 及 FDDI 之 类 的 媒体 信号 。 

4) 网 络 监测 器 

网 络 监 测 器 能 够 持续 不 断 地 跟踪 数据 包 在 网 络 上 的 传输 ， 能 够 提供 任何 时 刻 网 络 活动 的 精 
确 描述 或 者 一 段 时 间 内 网 络 活动 的 历史 记录 。 网 络 监测 器 不 会 对 数据 帧 中 的 内 容 进 行 解码 。 网 
络 监测 器 可 以 对 正常 运作 下 的 网 络 活动 进行 定期 采样 ， 以 此 作为 网 络 性 能 的 基准 。 

网 络 监测 器 可 以 收集 诸如 数据 包 长 度 、 数 据 包 数 量 、 错 误 数 据 包 的 数量 、 连 接 的 总 体 利用 
率 、 主 机 与 MAC 地 址 的 数量 、 主 机 与 其 他 设备 之 间 的 通信 细节 之 类 的 信息 。 这 些 信息 可 以 用 
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于 概括 局 域 网 的 通信 状况 ， 帮 助 用 户 确定 网 络 通 信 超 载 的 具体 位 置 、 规 划 网 络 的 扩展 形式 、 及 
时 地 发 现 入 侵 者 、 建 立 网 络 性 能 基准 、 更 加 有 效 地 分 散 通信 量 。 

5) 网 络 分 析 仪 

网 络 分 析 仪 Cnetwork analyzer) 有 时 也 称 为 协议 分 析 仪 (protocol analyzer)， 它 能 够 对 不 同 
协议 层 的 通信 数据 进行 解码 ， 以 便于 阅读 的 缩 略语 或 概述 形式 表示 出 来 ， 详 细 表示 哪个 层 被 调 
用 《物理 层 、 数 据 链 路 层 等 )， 以 及 每 个 字 节 或 者 字 节 内 容 起 什么 作用 。 

大 多 数 的 网 络 分 析 仪 能 够 实现 以 下 功能 。 

。 按照 特定 的 标准 对 通信 数据 进行 过 滤 ， 例 如 ， 可 以 截获 发 送 给 特定 设备 及 特定 设备 发 
出 的 所 有 信息 。 
为 截获 的 数据 加 上 时 间 标 签 。 
以 便于 阅读 的 方式 展示 协议 层 数据 信息 。 
生成 数据 帧 ， 并 将 其 发 送 到 网 络 中 。 
与 某 些 系统 配合 使 用 ， 系 统 为 网 络 分 析 仪 提供 一 套 规 则 ， 并 结合 网 络 的 配置 信息 及 具 
体操 作 ， 实 现 对 网 络 故 障 的 诊断 与 排除 ， 或 者 为 网 络 故障 提供 潜在 的 排除 方案 。 


12.7.3 网络 故障 分 层 诊断 
1. 物理 层 及 其 诊断 


物理 层 是 OSI 分 层 结构 体系 中 最 基础 的 一 层 ， 它 建立 在 通信 媒体 的 基础 上 ， 实 现 系统 和 通 
信和 媒体 的 物理 接口 ， 为 数据 链 路 实体 之 间 进 行 透 明 传输 ， 为 建立 、 保 持 和 拆除 计算 机 和 网 络 之 
间 的 物理 连接 提供 服务 。 

物理 层 的 故障 主要 表现 在 设备 的 物理 连接 方式 是 否 恰当 ， 连 接 电缆 是 否 正 确 。 确 定 路 由 器 
端口 物理 连接 是 否 完好 的 最 佳 方法 是 使 用 show interface 命令 , 检查 每 个 端口 的 状态 , 解释 屏幕 
输出 信息 ， 查 看 端口 状态 、 协 议 建 立 状态 和 EIA 状态 。 

2. 数据 链 路 层 及 其 诊断 

数据 链 路 层 的 主要 任务 是 使 网 络 层 无 须 了 解 物理 层 的 特征 而 获得 可 靠 的 传输 。 数据 链 路 层 
为 通过 链 路 层 的 数据 进行 打包 和 解 包 、 差 错 检测 和 一 定 的 校正 能 力 ， 并 协调 共享 介质 。 在 数据 
链 路 层 交 换 数 据 之 前 ， 协 议 关 注 的 是 形成 帧 和 同步 设备 。 查 找 和 排除 数据 链 路 层 的 故障 ， 需 要 
查看 路 由 器 的 配置 ， 检 查 连接 端口 的 共享 同一 数据 链 路 层 的 封装 情况 。 每 对 接口 要 和 与 其 通信 
的 其 他 设备 有 相同 的 封装 。 通 过 查看 路 由 器 的 配置 检查 其 封装 ， 或 者 使 用 show 命令 查看 相应 
接口 的 封装 情况 。 

3. 网 络 层 及 其 诊断 


网 络 层 提供 建立 、 保 持 和 释放 网 络 层 连接 的 手段 ， 包 括 路 由 选择 、 流 量 控制 、 传 输 确 认 、 
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中 断 、 差 错 及 故障 恢复 等 。 排 除 网 络 层 故 障 的 基本 方法 是 沿 着 从 源 到 目标 的 路 径 查 看 路 由 器 路 
由 表 , 同时 检查 路 由 器 接口 的 他 地 址 。 如果 路 由 没有 在 路 由 表 中 出 现 ， 应 该 通过 检查 来 确定 是 
否 已 经 输入 适当 的 静态 路 由 、 默 认 路 由 或 者 动态 路 由 。 然 后 手工 配置 一 些 丢失 的 路 由 ， 或 者 排 
除 一 些 动态 路 由 选择 过 程 的 故障 , 包括 RIP 或 者 IGRP 路 由 协议 出 现 的 故障 。 例 如， 对 于 IGRP 
路 由 选择 信息 只 在 同一 自治 系统 号 (AS) 的 系统 之 间 交 换 数 据 ， 查 看 路 由 器 配置 的 自治 系统 号 
的 匹配 情况 。 

4. 应 用 层 及 其 诊断 


应 用 层 提供 最 终 用 户 服务 ， 如 文件 传输 、 电 子 信 息 、 电 子 邮件 和 虚拟 终端 接 入 等 。 排 除 网 
络 层 故 障 的 基本 方法 是 首先 在 服务 器 上 检查 配置 ， 测 试 服务 器 是 否 正常 运行 ， 如 果 服 务 器 没有 
问题 再 检查 应 用 客户 端 是 否 正确 配置 。 


12.8 网 络 规划 案例 

















12.8.1 案例 1 


某 学 校 在 原 校 园 网 的 基础 上 进行 网 络 改造 ， 网 络 方案 如 图 12-30 所 示 。 其 中 ， 网 管 中 心 位 
于 办 公 楼 第 三 层 ， 采 用 动态 及 静态 结合 的 方式 进行 PP 地 址 的 管理 和 分 配 。 






































图 12-30 某 校 园 网 络 改 造 方案 
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【问题 1】 

设备 选 型 是 网 络 方案 规划 设计 的 一 个 重要 方面 ， 请 用 200 字 以 内 文字 简要 叙述 设备 选 型 的 
基本 原则 。 

【问题 2】 

从 下 表 12-8 中 为 图 12-30 中 的 〈1) 一 〈5) 处 选择 合适 的 设备 ， 将 设备 名 称 写 在 答题 纸 的 





表 12-8 设备 表 
性 能 描述 

模块 化 接 入 , 固定 的 广域网 接口 + 可 选 广域网 接口 , 固定 的 局 域 网 接 
口 100/1000Base-T/TX 

交换 容量 :1.2T， 转 发 性 能 :285Mpps， 可 支持 接口 类 型 ，100/1000 
BaseT、GE、10GE， 电 源 见 余 : 1+1 

交换 容量 : 140G， 转 发 性 能 :100Mpps， 可 支持 接口 类 型 GE， 电 
源 见 余 : 无 ，20 百 / 千 兆 自 适 应 电 口 

交换 容量 : 100G， 转 发 性 能 : 66Mpps， 可 支持 接口 类 型 ; FE、GE， 


设备 类 型 | 设备 名 称 
路 由 器 Routerl 





Switch1 


交换 机 Switch2 








Se 电源 宛 余 : 无 ，24 千 光 光 口 
【问题 3] 
为 图 12-30 中 的 〈6) 一 〈9) 处 选择 介质 ， 填 写 在 答题 纸 的 相应 位 置 。 
备 选 介质 : 
于 光 双 绞 线 。” 百 光 双 绞 线 。” 双 千 光 光 纤 链 路 。 干 兆 光纤 
【问题 4] 


请 用 200 字 以 内 文字 简要 叙述 针对 不 同 用 户 分 别 进行 动态 和 静态 人 P 地 址 配置 的 优点 , 并 说 
明 图 中 的 服务 器 以 及 用 户 采 用 哪 种 方式 进行 人 P 地 址 配置 〈 见 表 12-9)。 


表 12-9 ”JP 地 址 配置 方式 











JIP 地 址 配置 方式 

邮件 服务 器 1) 

网 管 PC (2) 

学 生 PC (3) 
【问题 $】 
通常 ， 有 恶意 用 户 采 用 地 址 假冒 方式 盗用 人 P 地 址 ， 可 以 采用 什么 策略 防止 静态 人 P 地 址 的 

盗用 ? 

【问题 6】 


(1) 图 12-30 中 的 区 域 A 是 什么 区 ? 《请 从 以 下 选择 ) 
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A. 服务 区 B.DMZ 区 C. 堡垒 主机 D. 安全 区 
(2) 学 校 网 络 中 的 设备 或 系统 有 存储 学 校 机 密 数据 的 服务 器 、 邮 件 服务 器 、 存 储 资源 代码 
的 PC、 应 用 网 关 、 存 储 私 人 信息 的 PC 和 电子 商务 系统 等 ， 这 些 设备 哪些 应 放 在 区 域 A 中 , 哪 
些 应 放 在 内 网 中 ? 请 简要 说 明 。 


1. 案例 分 析 


(1) 本 案例 的 问题 1 主要 是 考查 网 络 设备 选 型 方面 的 知识 。 一 般 而 言 ， 在 选择 网 络 设备 时 
应 当 遵 循 以 下 原则 。 

@ 可 靠 性 。 由 于 升级 的 往往 是 核心 和 骨干 网 络 ， 其 重要 性 不 言 而 喻 ， 一 旦 瘫痪 则 影响 巨 
大 。 因 此 ， 必 须 将 可 靠 性 放 在 第 一 位 ， 无 论 是 品牌 的 选择 ， 还 是 设备 的 配置 ， 都 将 可 靠 性 作为 
第 一 考虑 。 

@ 性 能 。 作 为 骨干 网 络 节点 ， 中 心 交换 机 、 汇 聚 交换 机 必须 能 够 提供 完全 无 阻塞 的 多 层 
交换 性 能 ， 以 保证 业务 的 顺畅 。 

@ 可 管理 性 。 一 个 中 大 型 网 络 可 管理 程度 的 高 低 直 接 影响 着 运行 成 本 和 业务 质量 。 因 此 ， 
所 有 的 节点 都 应 是 可 网 管 的 ， 而 且 需 要 有 一 个 强 有 力 、 简 洁 的 网 络 管理 系统 能 够 对 网 络 的 业务 
流量 、 运 行 状况 等 进行 全 方位 的 监控 和 管理 。 

@ 灵活 性 和 可 扩展 性 。 由 于 校园 网 络 结构 复杂 ， 需 要 交换 机 能 够 持续 全 系列 接口 ， 例 如 
光 口 和 电 口 、 百 兆 、 千 兆 和 万 兆 端口 ， 以 及 多 模 光 纤 接 口 和 长 距离 的 单 模 光 纤 接口 等 。 其 交换 
结构 也 应 能 根据 网 络 的 扩容 灵活 地 扩大 容量 。 其 软件 应 具有 独立 知识 产权 ， 应 保证 其 后 续 研 发 
和 升级 ， 以 保证 对 未 来 新 业务 的 支持 。 

@ 安全 性 。 随 着 网 络 的 普及 和 发 展 ， 各 种 各 样 的 攻击 也 在 威胁 着 网 络 的 安全 。 不 仅仅 是 
接 入 交换 机 ， 骨 王 层 次 的 交换 机 也 应 考虑 到 安全 防范 的 问题 ， 例 如 访问 控制 、 带 宽 控 制 等 ， 从 
而 有 效 控制 不 良 业务 对 整个 骨干 网 络 的 侵害 。 

@ QoS 控制 能 力 。 随 着 网 络 上 的 多 媒体 业务 流 〈 语 音 、 视 频 等 ) 越 来 越 多 ， 人 们 对 核心 
交换 节点 提出 了 更 高 的 要 求 ， 不 仅 要 能 进行 一 般 的 线 速 交换 ， 还 要 能 根据 不 同业 务 流 的 特点 对 
它们 的 优先 级 和 带宽 进行 有 效 的 控制 ， 从 而 保证 重要 业务 和 时 间 敏 感 业务 的 顺畅 。 

@ 标准 性 和 开放 性 。 由 于 网 络 往往 是 一 个 具有 多 种 厂商 设备 的 环境 ， 因 此 ， 所 选择 的 设 
备 必须 能 够 支持 业界 通用 的 开放 标准 和 协议 ， 以 便 能 够 和 其 他 厂商 的 设备 有 效 的 互通 。 

性 价 比 。 在 满足 网 络 需求 和 网 络 应 用 的 基础 上 还 应 当 充 分 考虑 设备 的 性 价 比 ， 以 达到 
最 大 的 投资 回报 率 。 

(2) 问题 2 要 求 考生 掌握 网 络 方案 设计 中 设备 部 署 的 相关 知识 ， 从 表 中 关于 路 由 器 设备 的 
性 能 描述 “固定 的 广域网 接口 + 可 选 广域网 接口 ”可 知 ， 图 12-30 中 空 (1) 处 的 网 络 设备 应 选 
择 路 由 器 (Routerl )， 通 过 Routerl 的 广域网 接口 连接 到 Intemet。 根 据 交换 容量 、 包 转发 能 力 、 
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可 支持 接口 类 型 和 电源 见 余 模块 等 方面 对 比 表 中 交换 机 设备 Switchl、Switch2、Switch3 可 知 ， 
设备 Switchl 的 性 能 和 可 靠 性 最 好 ， 设 备 Switch2 的 性 能 次 之 ， 设 备 Switch3 的 性 能 稍 差 一 些 。 
仔细 分 析 该 校园 网 的 拓扑 结构 ， 可 知 室 (2) 处 的 网 络 设备 是 校园 网 的 核心 层 ， 它 必须 提供 稳 
定 可 靠 的 高 速 交换 ， 并 且 能 够 连接 各 种 接口 类 型 ， 因 此 空 (2) 处 的 设备 应 为 Switch1 。 

室 (3) 处 的 网 络 设备 至 少 需要 提供 一 个 百 兆 / 千 兆 电 口 用 于 连接 至 防火 墙 的 DMZ 接 
若干 个 快速 以 太 网 电 口 或 光 口 用 于 连接 服务 器 组 、 用 户 管理 器 和 网 络 管理 工作 站 。 表 中 关 于 交 
换 机 设备 Switch2 的 性 能 描述 “可 支持 接口 类 型 GE，20 百 / 千 兆 自 适应 电 口 ” 信 息 可 满足 以 
上 网 络 连接 要 求 ， 因 此 空 (3) 处 的 网 络 设备 应 选择 交换 机 Switch2 。 

从 空 (4) 和 空 (5) 的 位 置 可 知 ， 该 设备 位 于 汇聚 层 。 考 虑 到 综合 布线 系统 中 各 大 楼 建筑 
物 之 间 通 常 采用 光纤 作为 传输 介质 ， 结 合 表 中 关于 交换 机 设备 Switch3 的 性 能 描述 “可 支持 接 
类 型 : FE、GE, 24 千 兆 光 口 ”信息 可 知 , 空 (4) 和 空 (5) 处 的 网 络 设备 应 选择 交换 机 Switch3。 

(3) 问题 3 要 求 考生 掌握 网 络 方案 设计 中 传输 介质 选择 的 相关 知识 。 

由 I 下 EE 802.3ad 工作 组 制定 的 链 路 聚合 (Port Trunking) 技术 支持 IEEE 802.3 协议 ， 是 一 
种 用 来 在 两 台 核心 交换 机 之 间 扩 大 通信 吞吐 量 、 提 高 可 靠 性 的 技术 。 该 技术 可 使 交换 机 之 间 连 
接 最 多 4 条 负载 均衡 的 兄 余 连接 。 核 心 交换 机 之 间 采 用 双 千 兆 光 纤 结 构 ， 可 以 保证 在 任何 时 刻 
任意 一 条 链 路 出 现 故 障 时 在 极 短 的 时 间 内 自动 切换 到 另 一 条 链 路 上 ， 从 而 排除 单 点 故障 。 在 如 
图 12-30 所 示 的 拓扑 结构 中 ， 新 的 核心 层 交 换 机 与 原 校园 网 的 连接 介质 应 该 采用 双 千 兆 光 纤 链 
路 以 提高 可 靠 性 。 

结合 工程 经 验 可 知 ， 在 设计 层次 化 网 络 方案 时 ， 综 合 考虑 到 网 络 应 用 涉及 数据 、 音 频 、 视 
频传 输 ， 为 保证 传输 带宽 和 质量 ， 核 心 层 交 换 机 与 各 层 交 换 机 的 连接 介质 一 般 采 用 千 兆 光纤 ， 
即 空 (7) 处 的 传输 介质 可 选择 “ 千 光 光纤 ”。 

根据 上 面 的 分 析 可 知 ， 空 《3)〉 处 的 交换 机 Switch2 可 支持 千 兆 以 太 网 (GE) 接口 类 型 ， 
且 有 20 个 百 兆 / 千 兆 自 适应 电 口 。 综 合 考虑 到 与 Switch2 交换 机 相连 接 的 服务 器 组 要 求 较 高 的 
通信 性 能 ， 因 此 空 〈8) 处 的 传输 介质 可 选择 “ 千 兆 双 绞 线 ” 空 (9) 处 的 传输 介质 用 于 连接 
网 管 工 作 站 ， 一 般 与 交换 机 设备 距离 不 会 超过 100m， 并 且 对 传输 速率 和 服务 质量 没有 太 高 的 要 
求 ， 因 此 空 9) 处 的 传输 介质 可 选择 “ 百 兆 双 绞 线 ”。 

(4) 本 问题 比较 简单 ， 一 方面 是 考查 静态 IP 地 址 和 动态 人 P 地 址 的 区 别 ， 另 一 方面 是 考查 
哪些 设备 应 配置 静态 卫 地 址 ， 哪 些 设备 适宜 采用 动态 分 配 下 地 址 。 

在 采用 静态 PP 地 址 配置 方案 时 ， 每 个 用 户 都 有 自己 独立 且 固定 的 卫 地址。 通常 ， 企 业 网 
或 校园 网 中 的 路 由 器 、 交 换 机 、 防 火 墙 、 各 种 应 用 服务 器 、 网 络 管理 工作 站 、 网 络 打印 机 等 应 
采用 静态 卫 地 址 分 配 。 因 此 ， 本 小 题 邮件 服务 器 、 网 管 PC 需 采 用 静态 卫 地 址 。 

由 于 卫 地 址 资源 的 宝贵 性 ， 加 上 用 户 上 网 时 间 和 空间 的 离散 性 ， 采 用 动态 卫 地 址 配置 方 
案 为 用 户 分 配 一 个 临时 的 下 地 址 一 方面 可 避免 卫 地 址 资源 的 浪费 ， 另 一 方面 对 用 户 透 明 ， 不 
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需要 在 每 台 用 户 计算 机 上 配置 人 P 参数 , 比较 简单 方便 。 这 种 配置 方案 增加 了 用 户 接 入 的 灵活 性 ， 
适合 于 客户 端的 接 入 场景 ， 因 此 学 生 PC 最 好 采用 动态 全 地址 。 

(5) 本 小 题 要 求 考生 掌握 防止 静态 卫 地 址 盗用 的 相关 知识 。 了 P 地 址 的 修改 非常 容易 , MAC 
地 址 存储 在 网 卡 的 EEPROM 中 ， 而 且 网 卡 的 MAC 地 址 是 唯一 确定 的 。 因 此 ， 为 了 防止 内 部 人 
员 进 行 非法 人 P 盗用 《例如 盗用 权限 更 高 人 员 的 下 地 址 ， 以 获得 权限 外 的 信息 )， 可 以 将 内 部 网 
络 的 中 地 址 与 MAC 地 址 绑 定 ,盗用 者 即使 修改 了 下 地 址 , 也 因 MAC 地 址 不 匹配 而 盗用 失败 。 

(6) 本 小 题 要 求 考 生 掌 握 防火 墙 DMZ 区 概念 以 及 服务 器 部 署 的 相关 知识 。 防 火 墙 中 的 DMZ 
区 也 称 为 非 武 装 区 域 ， 允 许 外 网 的 用 户 有 限度 地 访问 其 中 的 资源 。 通 常 ，DMZ 区 的 安全 规则 
如 下 。 

名 允许 外 部 网 络 用 户 访问 DMZ 区 的 面向 外 网 的 应 用 服务 (如 Web、FTP 和 BBS 等)。 

@ 允许 DMZ 区 内 的 应 用 服务 器 及 工作 站 访问 Intemet。 

@ 禁止 DMZ 区 的 应 用 服务 器 访问 内 部 网 络 。 

@ 禁止 外 部 网 络 非法 用 户 访问 内 部 网 络 等 。 

通常 ，DMZ 中 的 服务 器 不 应 包含 任何 商业 机 密 、 资 源 代码 或 是 私人 信息 。 存 放 机 密 、 私 
人 信息 的 设备 应 部 署 在 内 部 网 络 中 。 

由 以 上 分 析 可 知 ， 要 保证 学 校 相 关 信息 的 机 密 性 ， 就 要 避免 外 部 网 络 的 用 户 和 内 部 网 络 中 
未 经 授权 的 用 户 直接 访问 存储 学 校 机 密 数 据 的 服务 器 、 存 储 资源 代码 的 PC 和 存储 私人 信息 的 
PC 等 ， 因 此 需要 将 这 些 设 备 部 署 在 校园 网 内 部 网 络 中 以 确保 其 安全 。 

对 于 邮件 服务 器 、 电 子 商 务 系统 和 应 用 网 关 等 设备 既 要 允许 内 、 外 网 主机 对 其 访问 ， 又 要 
保障 它们 的 安全 性 。 因 此 ， 这 些 设 备 需 部 署 在 防火 墙 的 DMZ 区 域 中 。 


2. 案例 参考 答案 


(1) 标准 化 原则 : 所 选择 的 设备 必须 基于 国际 标准 或 行业 标准 ， 因 为 只 有 基于 标准 的 产品 
才 有 可 能 与 其 他 厂商 的 产品 互 连 互通 。 

可 管理 性 原则 : 对 于 大 型 网 络 而 言 , 这 一 点 是 至 关 重 要 的 ， 它 不 仅 关系 到 系统 的 性 能 指标 ， 
甚至 关系 到 系统 的 可 用 性 。 主 要 考查 网 管 系统 对 所 选 设备 的 监管 、 配 置 能 力 ， 以 及 设备 可 以 提 
供 的 统计 信息 和 故障 检测 手段 ， 如 骨干 交换 机 必须 具备 端口 镜像 能 力 。 这 对 于 故障 诊断 ， 以 及 
今后 的 网 络 规划 具有 特别 重要 的 价值 。 

容错 元 余 性 原则 : 除了 在 网 络 设计 时 要 考虑 见 余 ,骨干 设 备 的 容错 元 余 也 是 必需 的 。 所 请 
容错 ， 就 是 设备 的 某 一 模块 出 现 故 障 时 是 否 会 影响 其 他 模块 ， 乃 至 其 他 设备 的 正常 工作 ;是 否 
支持 热 插 拔 ， 是 否 支 持 备份 设备 的 自动 切换 等 。 所 谓 元 余 ， 就 是 配置 的 设备 是 否 可 以 安装 多 个 
相同 功能 的 模块 ， 在 工作 正常 的 情况 下 实施 负载 分 担 ， 当 其 中 一 个 出 现 问题 时 自动 切换 。 

可 扩展 性 原则 : 主干 设备 的 选择 应 预 留 一 定 的 扩展 能 力 ， 而 低 端 设备 够 用 即 可 。 
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保护 原 有 投资 原则 : 根据 方案 实际 需要 选 型 ， 即 根据 网 络 实际 带宽 性 能 需求 、 端 口 类 型 和 
端口 密度 等 选 型 。 尽 量 让 旧 设 备 降 级 纳入 到 新 系统 中 ， 保 护 用 户 原 有 的 投资 。 


(2) 室 (1): Routerl 室 (2): Switch1 空 (3): Switch2 
室 (4): Switch3 室 (5): Switch3 

(3) 空 (6): 双 千 兆 光 纤 链 路 。 空 (7): 千 兆 光纤 
空 (8): 千 兆 双 绞 线 空 (9): 百 兆 双 绞 线 


(4) 静态 卫 地 址 配置 优点 : 每 个 用 户 拥有 固定 的 他 地 址 ， 便 于 网 络 的 管理 以 及 资源 的 相 
互 访问 ， 无 须 配置 专用 的 瑟 地 址 管理 服务 器 。 动 态 卫 地 址 配置 优点 : 可 避免 瑟 地 址 资源 的 浪 
费 ， 增 加 了 用 户 入 网 的 灵活 性 。 

空 (1): 静态 卫 地 址 室 (2): 静态 下 地 址 空 (3): 动态 他 地 址 

(5) 将 卫 地 址 与 MAC 地 址 进行 绑 定 。 

(6) 区 域 A 是 DMZ 区 域 。 区 域 A 中 放置 邮件 服务 器 、 应 用 网 关 、 电 子 商务 系统 ， 内 网 中 
放置 存储 学 校 机 密 数 据 的 服务 器 、 存 储 资源 代码 的 PC 和 存储 私人 信息 的 PC。 

DMZ (Demilitarized Zone) 可 以 理解 为 一 个 不 同 于 外 网 或 内 网 的 特殊 网 络 区 域 。DMZ 内 
通常 放置 一 些 不 含 机 密 信息 的 公用 服务 器 , 例如 Web、Mail 和 FTP 等 。 这 样 ， 来自 外 网 的 访问 
者 可 以 访问 DMZ 中 的 服务 ,但 不 可 能 接触 到 存放 在 内 网 中 的 公司 机 密 或 私人 信息 等 。 即 使 DMZ 
中 服务 器 受到 破坏 ， 也 不 会 对 内 网 中 的 机 密 信息 造成 影响 。 

12.8.2 ”案例 2 


某 企 业 网 络 的 拓扑 结构 如 图 12-31 所 示 ， 阅 读 以 下 关于 该 企业 网 络 结构 的 描述 ， 然 后 回答 
问题 1 至 问题 4。 

(1) 某 企业 网 络 由 总 公司 和 分 公司 组 成 , 其 中 , 分 公司 的 网 络 自治 系统 2(AS 2) 采 用 OSPF 
路 由 协议 ， 总 公司 的 网 络 自治 系统 1 (AS 1) 采用 RIPv2 路 由 协议 。 

(2) 该 企业 网 络 有 两 个 出 口 ， 一 个 出 口 通过 Routerl 的 S0 端口 连接 ISP1， 另 一 个 出 口 通 
过 Routerl 的 S1 端口 连接 ISP2。 

(3) 路 由 器 Routerl 的 Fa0/0 端口 连接 LAN3, 该 端口 的 下 地 址 为 192.168.3.1/24。Routerl 
的 Fa0/0、Fa0/1、Fa0/2 端口 启用 了 RIPv2 协议 。Routerl 的 Fa0/3 端口 启用 了 OSPF 协议 。 

(4) 路 由 器 Router2 的 Fa0/0 端口 连接 LAN 1, 其 瑟 地 址 为 192.168.1.1/24, 在 该 端口 启用 
了 RIPv2 协议 。 

(5) 路 由 器 Routers 的 Fa0/1 端口 连接 LAN 2 (192.168.2.0/24)， 该 端口 的 卫 地 址 为 192. 
168.2.1/24。 
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图 12-31 某 企 业 网 络 拓扑 结构 图 


【问题 1】 

与 Router2 连接 的 局 域 网 LAN 1 是 一 个 末节 网 络 ， 而 且 已 接近 饱和 ， 为 了 减少 流量 ， 需 要 
过 滤 进 入 LAN 1 的 路 由 更 新 ， 可 以 采用 什么 方法 实现 ?请 写 出 配置 过 程 。 

【问题 2】 

LAN 2 中 的 计算 机 不 需要 访问 LAN 3 中 的 计算 机 ， 为 了 进一步 控制 流量 ， 网 络 管理 员 决 定 
通过 访问 控制 列表 阻止 192.168.2.0/24 网 络 中 的 主机 访问 192.168.3.0/24 网 络 ， 请 问 应 将 访问 控 
制 列 表 设 置 在 哪 台 路 由 器 上 ? 如 何 配置 ? 

【问题 3】 

如 果 希 望 采 用 策略 路 由 将 来 自 192.168.3.0/24 网 络 去 往 Intemet 的 数据 流转 发 到 ISP1， 将 来 
自 192.168.2.0/24 网 络 去 往 Internet 的 数据 流转 发 到 ISP2， 应 如 何 配置 ? 

【问题 4】 

要 求 自治 系统 1 中 的 路 由 器 Router2 能 学 习 到 自治 系统 2 (OSPF 网 络 ) 中 的 路 由 信息 ， 同 
时 Router3 也 能 学 习 到 自治 系统 1 中 的 路 由 信息 ， 应 采用 什么 方法 ? 请 写 出 配置 过 程 。 
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1. 案例 分 析 


网 络 管理 员 可 以 通过 设置 路 由 器 何 时 交换 路 由 更 新 以 及 路 由 更 新 中 应 包含 哪些 信息 来 优 
化 网 络 中 的 路 由 。 本 案例 主要 考查 路 由 优化 方面 的 相关 知识 ， 包 括 路 由 更 新 控制 、 基 于 策略 的 
路 由 和 路 由 重 发 布 等 。 

(1) 问题 1 需要 过 滤 进 入 LAN 1 的 路 由 更 新 ， 可 以 将 连接 LAN 1 的 Fa0/0 端口 配置 为 被 动 
接口 。 被 动 接口 只 接收 路 由 更 新 不 发 送 路 由 更 新 。passive-interface 命令 可 以 用 于 所 有 他 内 部 网 
关 协 议 (包括 RIP、IGRP、EIGRP、OSPF 和 IS-IS)， 该 命令 的 语法 如 下 。 


Router(config-router)# passive-interface type number 


(2) 为 了 过 滤 不 必要 的 通信 流量 ， 可 以 通过 配置 访问 列表 来 实现 。 问 题 2 主要 考查 配置 访 
问 控制 列表 的 原则 和 方法 。 访 问 控制 列表 (ACL) 是 应 用 于 路 由 器 接口 的 指令 列表 ， 用 于 指定 
哪些 数据 包 可 以 接收 并 转发 ， 哪 些 数据 包 需 要 拒绝 ，ACL 可 以 限制 网 络 流量 、 提 高 网 络 性 能 。 
ACL 的 工作 原理 是 读 取 数 据 包 中 第 三 层 及 第 四 层 头 部 中 的 源 于、 目的 也 和 目的 端口 等 信息 ， 
然后 根据 预先 定义 好 的 规则 对 包 进 行 过 滤 。 

访问 控制 列表 的 种 类 包括 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 其 中 标准 访问 控制 列表 
根据 数据 包 的 源 下 地 址 决定 转发 或 丢弃 数据 包 ， 其 常用 的 访问 控制 列表 号 为 1 一 99。 扩 展 访问 
控制 列表 基于 源 一 、 目 的 一、 传输 层 协 议和 应 用 服务 端口 号 进行 过 滤 ， 使 用 扩展 ACL 可 实现 
更 加 精确 的 流量 控制 ， 其 常用 的 访问 控制 列表 号 为 100 一 199。 

ACL 通过 过 滤 数据 包 并 且 丢 弃 不 希望 抵达 目的 地 的 数据 包 来 控制 通信 流量 。 然 而 能 否 有 效 
地 减少 不 必要 的 通信 流量 ， 这 还 要 取决 于 网 络 管理 员 把 ACL 部 署 在 哪个 地 方 。 其 部 署 原则 是 
标准 ACL 要 尽量 靠近 目的 端 , 扩展 ACL 则 要 尽量 靠近 源 端 因此 ， 本 小 题 应 在 路 由 器 Router5 
上 配置 扩展 访问 控制 列表 。 

(3) 本 小 题 要 求 考生 掌握 策略 路 由 的 原理 及 其 配置 方法 。 通 过 策略 路 由 ， 路 由 器 可 以 按照 
事先 设置 好 的 规则 根据 数据 包 的 目的 下 或 源 中 来 选择 路 由 。 尽 管 策略 路 由 可 以 用 于 在 AS 中 
控制 数据 流 ， 但 它 通 常用 于 控制 AS 间 的 路 由 。 

“route-map” 命 令 用 于 配置 策略 路 由 ， 其 语法 如 下 。 

Router(config)j# route-map map-tag {permitldeny} [sequence-number] 

Router(config-map-router)# 

参数 “map-tag” 是 该 路 由 图 的 标识 符 ， 可 以 将 其 设置 为 容易 理解 的 字符 串 ， 例 如 “ISP2”。 
“Toute-map” 命 令 将 把 路 由 器 的 模式 改变 为 路 由 图 配置 模式 (config-map-router)， 在 该 模式 下 ， 
可 以 为 路 由 图 配置 条 件 。 每 个 “route-map” 命 令 中 都 有 一 组 “set” 和 “match” 命 令 。“match” 
命令 用 于 指定 匹配 准则 ,“set” 命 令 用 于 设置 满足 匹配 条 件 时 要 采取 的 动作 。 
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路 由 图 的 运行 机 理 和 访问 控制 列表 相似 ， 都 是 逐 行进 行 检查 ， 遇 到 匹配 就 立即 进行 处 理 。 
(4) 本 小 题 要 求 考生 掌握 路 由 重 发 布 相关 基本 知识 及 配置 方法 。 为 了 在 因特网 络 中 高 效 地 
支持 多 种 路 由 选择 协议 ， 必 须 在 这 些 不 同 的 路 由 协议 之 间 共 享 路 由 信息 。 例 如 ， 从 RIP 路 由 进 
程 所 学 习 到 的 路 由 可 能 需要 被 注入 到 IGRP 路 由 进程 中 去 。 在 路 由 选择 协议 之 间 交 换 路 由 信息 
的 过 程 称 为 路 由 重 发 布 。 这 种 重 发 布 可 以 是 单 向 的 或 双向 的 ， 单 向 是 指 一 种 路 由 协议 从 另 一 种 
路 由 协议 那里 接收 路 由 ， 双 向 是 指 两 种 路 由 选择 协议 互相 接收 对 方 的 路 由 。 执 行路 由 重 发 布 的 
路 由 器 称 为 边界 路 由 器 ， 因 为 它 处 于 两 个 或 多 个 自治 系统 或 者 路 由 域 的 边界 上 。 
根据 本 小 题 的 要 求 ， 应 该 在 路 由 器 Routerl 上 配置 双向 路 由 重 发 布 。 


2. 案例 参考 答案 
(1) 为 了 阻止 路 由 更 新 进入 LAN 1， 可 以 将 路 由 器 Router2 的 Fa0/0 端口 配置 为 被 动 接口 。 





























Router2(config)# router rip 
Router2(config-router)# passive-interface fa0/0 


(2) 应 将 访问 控制 列表 设置 在 路 由 器 Router5 上 ， 配 置 方 法 如 下 。 


RouterS(config)# access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 
RouterS(config)# access-list 101 permit ip any any 

RouterS(config)# int fa0/1 

RouterS(config-if)#ip access-group 101 in 


(3) 可 以 在 路 由 器 Routerl 上 配置 策略 路 由 ， 其 配置 方法 如 下 。 


Routerl(config)j# access-list 1 permit 192.168.3.0 0.0.0.255 
Routerl(config)j# access-list 2 permit 192.168.2.0 0.0.0.255 
Routerl(config)j# route-map ISP1 permit 10 

Routerl (config-route-map)# match ip address 1 
Routerl(config-route-map)# set interface serial 0 

Routerl (config-route-map)# exit 

Routerl(config)# route-map ISP2 permit 20 
Routerl(config-route-map)# match ip address 2 
Routerl(config-route-map)# set interface serial 1 


然后 将 每 个 路 由 图 应 用 到 路 由 器 Routerl 的 适当 接口 上 ， 这 里 的 适当 接口 是 指数 据 流 进入 
路 由 器 的 接口 。 


Routerl(config)# interface fa0/0 
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Routerl (config-if)# ip policy route-map ISP1 
Routerl(config-if)# interface fa0/1 
Routerl(config-if)# ip policy route-map ISP2 
Routerl(config-if)# interface fa0/2 
Routerl(config-if)# ip policy route-map ISP2 


(4) 可 以 在 两 个 自治 系统 的 边界 路 由 器 Routerl 上 设置 路 由 重 发 布 ， 配 置 过 程 如 下 。 
配置 OSPF 协议 和 路 由 重 发 布 命 令 : 


Routerl(config)# router ospf 101 
Routerl (config-router)# redistribute rip subnets 
Routerl(config-router)# network *.x.x.x wildcard area 0 


配置 RIP 协议 和 路 由 重 发 布 : 


Routerl(config)# router rip 

Routerl(config-router)# network x.x.x.x /配置 多 条 network 命令 

Routerl (config-router)# passive-interface fa0/3 

Routerl (config-router)# redistribute ospf 101 match internal external 1 external 2 
Routerl(config-router)# default-metric 10 


